近日,美国网络信息安全和基础设施建设安全局(CISA)和美国国家行业标准技术研究所(NIST)协同公布了互联网供应链风险管控(C-SCRM)架构和电脑安全软件开发框架(SSDF)手册新项目,为互联网防御者给予了与供应链攻击有关的发展趋势和最佳实践。
供应链攻击的最普遍技术是:
- 挟持升级
- 毁坏代码签名
- 破坏开源代码
在某种情形下,攻击很有可能会混和应用以上技术来增强其高效率。
这种攻击大部分归功于资源优势的攻击者和APT团队,他们具备很高的技术能力。
汇报强调:“手机软件供应链攻击通常必须强有力的技术才可以和长期性资金投入,因而通常难以实行。总体来说,高級不断危害(APT)参加者更有可能、与此同时有意向和能力来开展很有可能伤害国防安全的相对高度技术性和长久性的手机软件供应链攻击主题活动。”
汇报强调,机构非常容易遭受该类攻击的因素有两个:
- 很多第三方软件商品必须权利浏览
- 很多第三方软件商品必须出卖方互联网与坐落于顾客互联网上的出卖方软件项目中间的经常通讯
该手册包括一系列提议,內容涵盖机构如何预防供应链攻击及其在运用此技术交货恶意程序或易受攻击的电脑软件的情形下如何缓解这种攻击。
新项目详细地址:https://csrc.nist.gov/projects/cyber-supply-chain-risk-management
【文中是51CTO栏目创作者“i春秋”的原创文章内容,转截请根据i春秋(微信公众平台id:gooann-sectv)获得受权】
戳这儿,看该创作者大量好文章