近日,美国网络安全与基础设施安全局(CISA)和美国国家标准与技术研究院(NIST)联合发布了网络供应链风险管理(C-SCRM)框架和安全软件开发框架(SSDF)指导项目为网络防御者提供与供应链攻击相关的趋势和最佳实践。最常见的供应链攻击技术是:劫持更新破坏代码签名破坏开源代码在某些情况下,攻击可能会混合使用上述技术来提高其有效性。大多数这些攻击都归因于资源丰富的攻击者和具有高技术能力的APT组织。“软件供应链攻击通常需要大量的技术人才和长期承诺,这使得它们通常难以执行,”报告指出。“一般来说,高级持续威胁(APT)参与者更有可能、更愿意并且能够进行具有潜在危害性的国家安全高技术和慢性软件供应链攻击活动。”根据该报告,组织容易受到此类攻击的原因有两个:许多第三方软件产品需要特权访问Web上供应商软件产品之间的频繁通信本指南包含一系列关于组织如何防止供应链攻击以及如何如果此技术用于传送恶意软件或易受攻击的软件,则可以减轻它们。项目地址:https://csrc.nist.gov/projects/cyber-supply-chain-risk-management【本文为专栏作者“安全牛”原创文章,转载请通过安全牛(微信公众号)id:gooann-sectv)获取授权】戳这里查看作者更多好文
