了解通過第三方軟件供應(yīng)商發(fā)起的供應(yīng)鏈攻擊示例，其中合法的工業(yè)控制系統(tǒng)可能被“木馬化”。自2011年以來，被稱為 Dragonfly（也稱為 Energetic Bear、Havex 和 Crouching Yeti）的網(wǎng)絡(luò)間諜組織一直在瞄準(zhǔn)歐洲和北美的公司，主要目標(biāo)是能源行業(yè)。該團(tuán)體有通過供應(yīng)鏈針對(duì)相應(yīng)公司攻擊的歷史。

　　在他們的最新活動(dòng)中，Dragonfly 成功地“木馬化”了合法的工業(yè)控制系統(tǒng) （ICS） 軟件。為此，他們首先入侵了 ICS 軟件供應(yīng)商的網(wǎng)站，并用自己感染了惡意軟件的版本替換了其存儲(chǔ)庫中的合法文件。

　　隨后，當(dāng)從用戶從供應(yīng)商的網(wǎng)站下載 ICS 軟件時(shí)，會(huì)在安裝合法的 ICS 軟件時(shí)安裝惡意軟件，包括額外的遠(yuǎn)程訪問功能，可用于控制安裝它的系統(tǒng)。

　　如果被入侵的軟件在源頭已經(jīng)被更改，則很難被檢測(cè)到，因?yàn)槟繕?biāo)用戶公司沒有理由懷疑其不合法性。這中供應(yīng)鏈安全極大地依賴于供應(yīng)商，因?yàn)橛脩羯钊霗z查每一個(gè)硬件或軟件以發(fā)現(xiàn)此類攻擊所需的深度是不可行的。

　　供應(yīng)鏈安全中第三方軟件供應(yīng)商安全的案例，今年最為典型的是攻擊者設(shè)法黑了基于德克薩斯州的IT管理和監(jiān)視解決方案提供商SolarWinds的系統(tǒng)之后，已導(dǎo)致全球許多組織的網(wǎng)絡(luò)遭到破壞。攻擊者破壞了該公司Orion監(jiān)視產(chǎn)品的構(gòu)建系統(tǒng)。攻擊者可能向數(shù)千家組織提供了帶有惡意軟件的更新包，其中包括網(wǎng)絡(luò)安全公司FireEye（世界最大網(wǎng)絡(luò)安全公司之一的FireEye被黑，紅隊(duì)滲透工具被盜）和以及美國政府的各種組織。美國當(dāng)局就此次供應(yīng)鏈攻擊事件，對(duì)俄羅斯進(jìn)行了指控，聲稱是俄羅斯贊助的國家級(jí)黑客團(tuán)體主導(dǎo)了這場(chǎng)供應(yīng)鏈攻擊。而俄羅斯方面對(duì)這一指控予以否認(rèn)。

　　供應(yīng)鏈攻擊中最為成功驚世駭俗的非美國、以色列對(duì)伊朗核設(shè)施發(fā)動(dòng)的“震網(wǎng)”病毒莫屬了。作為世界上首個(gè)網(wǎng)絡(luò)“超級(jí)破壞性武器”，Stuxnet的計(jì)算機(jī)病毒已經(jīng)感染了全球超過 45000個(gè)網(wǎng)絡(luò)，伊朗遭到的攻擊最為嚴(yán)重，60%的個(gè)人電腦感染了這種病毒。計(jì)算機(jī)安防專家認(rèn)為，該病毒是有史以來最高端的“蠕蟲”病毒。蠕蟲是一種典型的計(jì)算機(jī)病毒，它能自我復(fù)制，并將副本通過網(wǎng)絡(luò)傳輸，任何一臺(tái)個(gè)人電腦只要和染毒電腦相連，就會(huì)被感染。

　　供應(yīng)鏈安全在西方信息安全領(lǐng)域，算是一個(gè)常提常新的話題了。美國這種具備超強(qiáng)供應(yīng)鏈攻擊能力的國家，自然明白供應(yīng)鏈攻擊的危害，所以也不斷利用自己在媒體中的話語權(quán)炒作俄羅斯黑客、中國黑客，對(duì)中俄進(jìn)行污名化，最近又曝出，美國商務(wù)部出臺(tái)新出口管制，要求禁止向中俄等國出口攻擊、監(jiān)控等類別的網(wǎng)絡(luò)安全工具。美國商務(wù)部在一份聲明中表示，在經(jīng)過大量討論之后，他們認(rèn)為禁止出售黑客工具已經(jīng)可以取得平衡，能在繼續(xù)保持美國研究人員及網(wǎng)絡(luò)安全公司同海外合作伙伴與客戶合作解決軟件漏洞和惡意攻擊的同時(shí)，有效遏制對(duì)手掌握相關(guān)黑客技術(shù)。從中，我們也看到美國在這方面囤積居奇，奇貨可居應(yīng)該是海量的。

　　供應(yīng)鏈的安全可控是非常重要的，絕非是空談。目前，世界各國都已經(jīng)普遍認(rèn)識(shí)到供應(yīng)鏈安全重要性，我們需要保持高度的安全意識(shí)，加強(qiáng)供應(yīng)鏈安全管理，供應(yīng)商也需要增強(qiáng)自身安全管控，不斷提升自身安全，提升自身在網(wǎng)絡(luò)安全行業(yè)的安全可信度，提升自身商譽(yù)。