供應鏈攻擊風險上升 危及數位生態系統star4038 (2024-06-10 10:30:00)

在網路世界中，供應鏈攻擊已成為一個嚴重的問題。這種攻擊不僅會對單一組織造成影響，還可能威脅整個數位生態系統。駭客利用企業間的相互依賴，對軟體和IT供應商的漏洞進行攻擊，進而入侵多個組織。這些攻擊可能導致資料外洩、財務損失、業務中斷甚至是聲譽受損。

編譯／Cynthia

在網路世界中，供應鏈攻擊已成為一個嚴重的問題。這種攻擊不僅會對單一組織造成影響，還可能威脅整個數位生態系統。駭客利用企業間的相互依賴，對軟體和IT供應商的漏洞進行攻擊，進而入侵多個組織。這些攻擊可能導致資料外洩、財務損失、業務中斷甚至是聲譽受損。

供應鏈攻擊風險上升

供應鏈攻擊的風險不斷上升，特別是針對企業的第三方供應商和服務供應商，這些攻擊使得駭客能夠透過弱點進入，對整個供應鏈產生廣泛影響。根據Capterra研究，截至2023年4月，美國有61%企業受到軟體供應鏈攻擊的直接影響。Cybersixgill數據顯示，2023年全球發生了約245,000次軟體供應鏈攻擊，導致企業損失達460億美元（新台幣約1.49兆元）。預計到2025年，數字將增至600億美元（新台幣約1.94兆元），顯示這類攻擊的威脅正急速擴大。

更多新聞：密碼保護力轉弱 AI驅動資安攻防戰

駭客的多重動機

駭客的目標和動機各有不同，主要是為了取得未經授權的系統或網路存取權。這些攻擊可能影響多個組織的機密資料，包括知識產權、財務數據和客戶資料，這些數據可用於取得財務利益或競爭優勢。除了財務目的外，駭客的動機還可能包括進行網路間諜活動、政治議程或竊取商業機密等。例如，有些國家支持的駭客可能試圖獲取機密資料或國家安全機密，而在競爭激烈的行業中，企業可能面臨著對其專有研究和發明的威脅。

常見的滲透技術

駭客使用各種技術進行供應鏈攻擊，包括盜用帳戶、注入惡意程式和利用漏洞。例如，駭客可能透過盜取供應商憑證進入目標組織系統，規避傳統安全措施，進而進行資料竊取、詐騙或勒索軟體攻擊。2024年4月，XZ Utils資料壓縮工具中發現一個後門，允許駭客進行未經授權的訪問和遠端程式碼執行，影響多個常用的Linux發行版，如Kali Linux、Fedora、Debian和Arch Linux，造成大範圍的損害。

從過往事件中學習

過去的供應鏈攻擊事件如SolarWinds、Kaseya和NotPetya，突顯這類攻擊的破壞性潛力。SolarWinds攻擊事件中，駭客在軟體更新中植入後門，並分發給數千名客戶，包括政府機構和大型企業，這事件強調對軟體供應鏈實施嚴格安全措施的重要性。Kaseya攻擊事件中，駭客利用管理軟體的漏洞，對其客戶進行大規模勒索軟體攻擊，這些案例都顯示加強供應鏈安全防護的迫切性。

為降低供應鏈風險，組織應積極採取措施，包括建立適當工具並持續評估第三方安全。Cybersixgill提供多元威脅情報，助於了解供應商漏洞以預防風險。

資料來源：The Hacker News

這篇文章 供應鏈攻擊風險上升 危及數位生態系統 最早出現於 TechNice科技島-掌握科技與行銷最新動態。