了解通過第三方軟件供應商發(fā)起的供應鏈攻擊示例，其中合法的工業(yè)控制系統(tǒng)可能被“木馬化”。自2011年以來，被稱為 Dragonfly（也稱為 Energetic Bear、Havex 和 Crouching Yeti）的網(wǎng)絡間諜組織一直在瞄準歐洲和北美的公司，主要目標是能源行業(yè)。該團體有通過供應鏈針對相應公司攻擊的歷史。

　　在他們的最新活動中，Dragonfly 成功地“木馬化”了合法的工業(yè)控制系統(tǒng) （ICS） 軟件。為此，他們首先入侵了 ICS 軟件供應商的網(wǎng)站，并用自己感染了惡意軟件的版本替換了其存儲庫中的合法文件。

　　隨后，當從用戶從供應商的網(wǎng)站下載 ICS 軟件時，會在安裝合法的 ICS 軟件時安裝惡意軟件，包括額外的遠程訪問功能，可用于控制安裝它的系統(tǒng)。

　　如果被入侵的軟件在源頭已經(jīng)被更改，則很難被檢測到，因為目標用戶公司沒有理由懷疑其不合法性。這中供應鏈安全極大地依賴于供應商，因為用戶深入檢查每一個硬件或軟件以發(fā)現(xiàn)此類攻擊所需的深度是不可行的。

　　供應鏈安全中第三方軟件供應商安全的案例，今年最為典型的是攻擊者設法黑了基于德克薩斯州的IT管理和監(jiān)視解決方案提供商SolarWinds的系統(tǒng)之后，已導致全球許多組織的網(wǎng)絡遭到破壞。攻擊者破壞了該公司Orion監(jiān)視產(chǎn)品的構建系統(tǒng)。攻擊者可能向數(shù)千家組織提供了帶有惡意軟件的更新包，其中包括網(wǎng)絡安全公司FireEye（世界最大網(wǎng)絡安全公司之一的FireEye被黑，紅隊滲透工具被盜）和以及美國政府的各種組織。美國當局就此次供應鏈攻擊事件，對俄羅斯進行了指控，聲稱是俄羅斯贊助的國家級黑客團體主導了這場供應鏈攻擊。而俄羅斯方面對這一指控予以否認。

　　供應鏈攻擊中最為成功驚世駭俗的非美國、以色列對伊朗核設施發(fā)動的“震網(wǎng)”病毒莫屬了。作為世界上首個網(wǎng)絡“超級破壞性武器”，Stuxnet的計算機病毒已經(jīng)感染了全球超過 45000個網(wǎng)絡，伊朗遭到的攻擊最為嚴重，60%的個人電腦感染了這種病毒。計算機安防專家認為，該病毒是有史以來最高端的“蠕蟲”病毒。蠕蟲是一種典型的計算機病毒，它能自我復制，并將副本通過網(wǎng)絡傳輸，任何一臺個人電腦只要和染毒電腦相連，就會被感染。

　　供應鏈安全在西方信息安全領域，算是一個常提常新的話題了。美國這種具備超強供應鏈攻擊能力的國家，自然明白供應鏈攻擊的危害，所以也不斷利用自己在媒體中的話語權炒作俄羅斯黑客、中國黑客，對中俄進行污名化，最近又曝出，美國商務部出臺新出口管制，要求禁止向中俄等國出口攻擊、監(jiān)控等類別的網(wǎng)絡安全工具。美國商務部在一份聲明中表示，在經(jīng)過大量討論之后，他們認為禁止出售黑客工具已經(jīng)可以取得平衡，能在繼續(xù)保持美國研究人員及網(wǎng)絡安全公司同海外合作伙伴與客戶合作解決軟件漏洞和惡意攻擊的同時，有效遏制對手掌握相關黑客技術。從中，我們也看到美國在這方面囤積居奇，奇貨可居應該是海量的。

　　供應鏈的安全可控是非常重要的，絕非是空談。目前，世界各國都已經(jīng)普遍認識到供應鏈安全重要性，我們需要保持高度的安全意識，加強供應鏈安全管理，供應商也需要增強自身安全管控，不斷提升自身安全，提升自身在網(wǎng)絡安全行業(yè)的安全可信度，提升自身商譽。