软件供应商是干嘛的_软件供应链攻击是什么意思

软件供应链安全及防护工具研究

文 中国信息通信研究院云计算与大数据研究所云计算部工程师 吴江伟

随着 5G、云计算、人工智能、大数据、区块链等技术的日新月异，数字化转型进程逐步推进，软件已经成为日常生产生活必备要素之一，渗透到各个行业和领域。容器、中间件、微服务等技术的演进推动软件行业快速发展，同时带来软件设计开发复杂度不断提升，软件供应链也愈发复杂，全链路安全防护难度不断加大。近年来，软件供应链安全事件频发，对于用户隐私、财产安全乃至国家安全造成重大威胁，自动化安全工具是进行软件供应链安全防御的必要方式之一，针对软件供应链安全及工具进行研究意义重大，对于维护国家网络空间安全，保护用户隐私、财产安全作用深远。

一、软件供应链安全综述

软件供应链定义由传统供应链的概念延伸扩展而来。业界普遍认为，软件供应链指一个通过一级或多级软件设计、开发阶段编写软件，并通过软件交付渠道将软件从软件供应商送往软件用户的系统。软件供应链安全指软件供应链上软件设计与开发的各个阶段中来自本身的编码过程、工具、设备或供应链上游的代码、模块和服务的安全，以及软件交付渠道安全的总和。软件供应链攻击具有低成本、高效率的特点，根据其定义可知，相比传统针对软件自身安全漏洞的攻击，针对软件供应链，受攻击面由软件自身扩展为了软件自身内部的所有代码、模块和服务及与这些模块、服务相关的供应链上游供应商的编码过程、开发工具、设备，显著降低了攻击者的攻击难度。同时，软件设计和开发所产生的任何安全问题都会直接影响供应链中所有下游软件的安全，扩大了攻击所造成的影响。

近年来，软件自身安全防御力度不断加大，攻击者把攻击目标由目标软件转移到软件供应链最薄弱的环节，软件供应链安全事件频发，对用户隐私及财产安全乃至国家安全造成重大威胁。最典型的如 2020 年 12 月，美国网络安全管理软件供应商“太阳风”公司（SolarWinds）遭遇国家级 APT 组织高度复杂的供应链攻击，直接导致包括美国关键基础设施、军队、政府等在内的超过 18000 家客户全部受到影响，可任由攻击者完全操控。

软件供应链安全影响重大，各国高度重视，纷纷推行政策法规推动软件供应链安全保护工作。2021 年 5 月 12 日，美国总统拜登签署发布《改善国家网络安全行政令》，明确提出改善软件供应链安全，要求为出售给政府的软件开发建立基线安全标准，不仅提供应用程序，而且还必须提供软件物料清单，提升组成该应用程序组件的透明度，构建更有弹性且安全的软件供应链环境，确保美国的国家安全。同年 7 月，美国国家标准与技术所（NIST）发布《开发者软件验证最低标准指南》，为加强软件供应链安全加码，明确提出关于软件验证的 11 条建议，包括一致性自动化测试，将手动测试最少化，利用静态代码扫描查找重要漏洞，解决被包含代码（库、程序包、服务）等。

我国对软件供应链安全问题也给予了高度重视，2017 年 6 月，我国发布实施《网络产品和服务安全审查办法》，将软件产品测试、交付、技术支持过程中的供应链安全风险作为重点审查内容。2019 年12 月 1 日，《信息安全技术 网络安全等级保护基本要求》2.0 版本正式实施，在通用要求及云计算扩展部分明确要求服务供应商选择及供应链管理。

二、软件供应链安全挑战

目前，软件供应链安全受到高度重视，但仍面临多重现实挑战，可以总结分为以下五大类。

1. 软件设计开发复杂化成为必然趋势

随着容器、中间件、微服务等新技术的演进，软件行业快速发展，软件功能及性能需求也不断提升，软件设计开发复杂化已经成为必然趋势。这一现状同时带来了软件设计、开发及维护难度陡增，设计与开发过程不可避免的产生安全漏洞，为软件供应链安全埋下隐患。

2. 开源成为主流开发模式

当前，开源已经成为主流开发模式之一，软件的源代码大多数是混源代码，由企业自主开发的源代码和开源代码共同组成。根据新思 科技 《2021 年开源安全和风险分析》报告显示，近 5 年，开源代码在应用程序中所占比例由 40% 增至超过 70%。开源的引入加快了软件的研发效率，但同时也将开源软件的安全问题引入了软件供应链，导致软件供应链安全问题多元化。

3. 快速交付位于第一优先级

由于业界竞争环境激烈，相较于安全，功能快速实现，软件快速交付仍处于第一优先级，虽然软件通常实现了安全的基本功能需求，如身份认证鉴权、加解密、日志安全审计等，但整体安全防护机制相对滞后，以后期防护为主，前期自身安全性同步建设往往被忽视，软件自身代码安全漏洞前期清除存在短板。

4. 软件交付机制面临安全隐患

软件交付指软件由软件供应商转移到软件用户的过程。传统软件交付以光盘等存储设备为载体，随着互联网等技术的发展，通过网络对于软件进行快速分发已经成为基本模式，不安全的分发渠道同样会对软件供应链安全产生重大影响。

5. 使用时软件补丁网站攻击

针对软件供应链安全防护，软件的生命周期并非结束于软件交付之后，而是直到软件停用下线。软件在设计及开发过程中难免存在安全缺陷，通过补丁下发部署是修复软件缺陷漏洞的最通用方式。软件补丁的下发部署同样受分发渠道影响，受污染的补丁下载站点同样会造成软件供应链安全问题。

三、软件供应链安全防护工具

软件供应链安全涉及众多元素及环节，参考业界常见划分，软件供应链环节可抽象成开发环节、交付环节、使用环节三部分。针对交付环节及使用环节安全防护，主要通过确保分发站点及传输渠道安全。开发环节与软件源代码紧密相关，安全防护较为复杂，囊括编码过程、工具、设备及供应链上游的代码、模块和服务的安全，涉及四类安全工具，包括软件生产过程中的工具和软件供应链管理工具。

1. 静态应用程序安全测试工具

静态应用程序安全测试（SAST）是指不运行被测程序本身，仅通过分析或者检查源程序的语法、结构、过程、接口等来检查程序的正确性。源代码静态分析技术的发展与编译技术和计算机硬件设备的进步息息相关，源代码安全分析技术多是在编译技术或程序验证技术的基础上提出的，利用此类技术能够自动地发现代码中的安全缺陷和违背安全规则的情况。目前，主流分析技术包括：（1）词法分析技术，只对代码的文本或 Token 流与已知归纳好的缺陷模式进行相似匹配，不深入分析代码的语义和代码上下文。词法分析检测效率较高，但是只能找到简单的缺陷，并且误报率较高。（2）抽象解释技术，用于证明某段代码没有错误，但不保证报告错误的真实性。该技术的基本原理是将程序变量的值映射到更加简单的抽象域上并模拟程序的执行情况。因此，该技术的精度和性能取决于抽象域对真实程序值域的近似情况。（3）程序模拟技术，模拟程序执行得到所有执行状态，分析结果较为精确，主要用于查找逻辑复杂和触发条件苛刻的缺陷，但性能提高难度大。主要包括模型检查和符号执行两种技术，模型检查将软件构造为状态机或者有向图等抽象模型，并使用模态/时序逻辑公式等形式化的表达式来描述安全属性，对模型遍历验证这些属性是否满足；符号执行使用符号值表示程序变量值，并模拟程序的执行来查找满足漏洞检测规则的情况。（4）定理证明技术，将程序错误的前提和程序本身描述成一组逻辑表达式，然后基于可满足性理论并利用约束求解器求得可能导致程序错误的执行路径。该方法较为灵活性，能够使用逻辑公式方便地描述软件缺陷，并可根据分析性能和精度的不同要求调整约束条件，对于大型工业级软件的分析较为有效。（5）数据流分析技术，基于控制流图，按照某种方式扫面控制流图的每一条指令，试图理解指令行为，以此判断程序中存在的威胁漏洞。数据流分析的通用方法是在控制流图上定义一组方程并迭代求解，一般分为正向传播和逆向传播，正向传播就是沿着控制流路径，状态向前传递，前驱块的值传到后继块；逆向传播就是逆着控制流路径，后继块的值反向传给前驱块。

2. 动态应用程序安全测试工具

动态应用程序安全测试（DAST）技术在测试或运行阶段分析应用程序的动态运行状态。它模拟黑客行为对应用程序进行动态攻击，分析应用程序的反应，从而确定该应用是否易受攻击。以 Web 网站测试为例对动态应用程序安全测试进行介绍，主要包括三个方面的内容：（1）信息收集。测试开始前，收集待测试网站的全部 URL，包括静态资源和动态接口等，每一条 URL 需要包含路径和完整的参数信息。（2）测试过程。测试人员将测试所需的 URL列表导入到测试工具中。测试工具提供“检测风险项”的选择列表，测试人员可根据测试计划选择不同的风险检测项。测试工具在测试过程中，对访问目标网站的速度进行控制，保证目标网站不会因为同一时刻的请求数过高，导致网站响应变慢或崩溃。测试人员在设定测试任务的基本信息时，根据目标网站的性能情况填入“每秒请求数”的最大值。测试工具在测试过程中保证每秒发送请求的总数不超过该数值。（3）测试报告。在安全测试各步骤都完成后，输出测试报告。测试报告一般包含总览页面，内容包括根据测试过程产生的各种数据，输出目标网站安全性的概要性结论；测试过程发现的总漏洞数，以及按照不同安全等级维度进行统计的漏洞数据。

3. 交互式应用程序安全测试工具

交互式应用程序安全测试（IAST）通过插桩技术，基于请求及运行时上下文综合分析，高效、准确地识别安全缺陷及漏洞，确定安全缺陷及漏洞所在的代码位置，主要在三方面做工作：流量采集、Agent监控、交互扫描。（1）流量采集，指采集应用程序测试过程中的 HTTP/HTTPS 请求流量，采集可以通过代理层或者服务端 Agent。采集到的流量是测试人员提交的带有授权信息有效数据，能够最大程度避免传统扫描中因为测试目标权限问题、多步骤问题导致扫描无效；同时，流量采集可以省去爬虫功能，避免测试目标爬虫无法爬取到导致的扫描漏水问题。（2）Agent 监控，指部署在 Web 服务端的 Agent 程序，一般是 Web 服务编程语言的扩展程序，Agent通过扩展程序监控 Web 应用程序性运行时的函数执行，包括 SQL 查询函数、命令执行函数、代码执行函数、反序列化函数、文件操作函数、网络操作函数，以及 XML 解析函数等有可能触发漏洞利用的敏感函数。（3）交互扫描，指 Web 应用漏洞扫描器通过Agent 监控辅助，只需要重放少量采集到的请求流量，且重放时附带扫描器标记，即可完成对 Web 应用程序漏洞的检测。例如，在检测 SQL 注入漏洞时，单个参数检测，知名开源 SQL 注入检测程序 SQLMAP需要发送上千个 HTTP 请求数据包；交互扫描只需要重放一个请求，附带上扫描器标记，Agent 监控SQL 查询函数中的扫描器标记，即可判断是否存在漏洞，大大减少了扫描发包量。

4. 软件组成分析软件组成分析

（SCA）主要针对开源组件，通过扫描识别开源组件，获取组件安全漏洞信息、许可证等信息，避免安全与法律法规风险。现有的开源组成扫描技术分为五种。（1）通过进行源代码片段式比对来识别组件并识别许可证类型。（2）对文件级别提取哈希值，进行文件级哈希值比对，若全部文件哈希值全部匹配成功则开源组件被识别。（3）通过扫描包配置文件读取信息，进行组件识别从而识别组件并识别许可证类型。（4）对开源项目的文件目录和结构进行解析，分析开源组件路径和开源组件依赖。（5）通过编译开源项目并对编译后的开源项目进行依赖分析，这种方式可以识别用在开源项目中的开源组件信息。

四、软件供应链安全研究建议

1. 发展软件安全工具相关技术

软件供应链安全防护的落地离不开安全工具的发展使用。大力发展软件安全工具技术，解决安全开发难点需求，进行安全前置，实现安全保护措施与软件设计、开发同步推进。

2. 提升软件供应链安全事件的防护、检测和响应能力

软件供应链安全防护需要事前、事中、事后的全方位安全防御体系。软件供应链安全攻击事件具有隐蔽性高、传播性强、影响程度深的特点，软件供应链作为一个复杂、庞大的系统，难免存在脆弱节点，应提升对软件供应链安全攻击事件的防护、检测和响应能力，避免安全事件造成重大影响。

3. 构建完善软件供应链安全相关标准体系

通过科研院所及标准机构完善软件供应链安全标准体系，普及软件供应链安全防范意识，提升企业组织对软件供应链安全的重视程度，进行软件供应链安全投入，推进安全建设工作落实。

4. 建立软件供应链安全可信生态

实现软件供应链安全需要各领域企业的共同努力。企业共建安全可信生态将满足不同用户、不同行业、不同场景的安全可信需求，提升业界整体软件供应链安全水平。

（本文刊登于《中国信息安全》杂志2021年第10期）

为什么近几年勒索软件攻击激增？如何防范它

目前我们正在与两种流行病毒作斗争——冠状病毒和勒索软件攻击。两者都会影响到部分经济，前者肉眼可见，后者则普通人不可遇见。然而，就网络安全而言，现在我们的安全防范意识，让黑客们有了一个轻松的方法来攫取数百万甚至更高的不法收入。

对于黑客来说，获取经济利益非常简单，即使用恶意软件访问和加密数据并将其扣为“人质”，直到受害者支付赎金为止。

现在网络攻击越来越频繁，因为黑客可以毫不费力地执行实施他们的计划。此外，支付方式现在对他们更友好。加上企业对数据越来越依赖，更多迁移到互联网办公服务，这样给了黑客更多的动机去尝试更多的漏洞，当黑客入侵获得了企业的某些数据，或者加密了某些东西的时候，企业在现有技术无法清除病毒或者修补落地，更多愿意支付赎金来临时解决现在问题，因为拖得越久企业损失越大，黑客可以拖，企业可拖不起。

更大胆的黑客们

几年前，黑客在获得银行密码，他们利用技术诀窍从人们的账户中窃取资金之前都会玩心理战术。现在他们更大胆了，因为他们很容易购买勒索软件即服务，并从在线视频分享网站学习黑客技术。一些有组织的网络黑客甚至为商业黑客提供服务，收取一定费用，通常是利润的一部分。

同样加密货币出现使得黑客更加大胆，因为他们可以去限制地敲诈受害者获取匿名支付。黑客可以通过匿名的方式从受害者那里获得更高金额的虚拟货币后转换成现金。

你也可以将网络攻击的增加归咎于一些愿意支付数百万美元加密货币的公司的行为。然而，如果公司和数据安全专家确保黑客攻击不再有利可图，攻击就会停止。

现在你会明白为什么很多国家不承认数字加密货币的真正含义了吧。

是网络攻击是越来越引人注目还是实际上在上升？

这两个问题的答案都是肯定的。 勒索软件变得越来越普遍，因为它很容易执行。黑客使用软件来绕过安全漏洞，或通过使用网络钓鱼诈骗策略欺骗网络用户，例如发送似乎来自可信来源的恶意软件。加上一些大公司的网络安全协议也比较宽松，这样让普通的黑客可以轻易得手。

以美国Colonial Pipeline的供应链攻击事件为例子，该公司首席执行官Joseph Blount承认该公司不使用多因素身份验证当用户登录。

根据美国2020年发布的互联网“犯罪”报告，“佛菠萝”在2020年收到了近2500起勒索软件报告，比2019年增加20%。2020年勒索软件袭击的总成本接近2910万美元。这相当于2019年增加了200%。

勒索软件攻击上升的另一个因素是在线用户越来越多。新冠肺炎的流行导致了全球互联网使用量的激增。许多学生和工人由线下转线上远程工作和学习，加上初次使用互联网服务，安全意识的欠缺往往成为黑客们下手的头号目标。

有网络专家预测勒索软件每年至少带来上千亿美元的损失，随着黑客改进其恶意软件攻击和勒索行为，攻击可能每两秒钟发生一次，到2031年，每年带来超过2500亿美元的损失。

勒索软件对企业的影响

我们已经知道勒索软件是如何对大小企业产生毁灭性影响的。但一次又一次的提醒是值得的，因为即使是企业也可能成为受害者。黑客继续利用网络安全系统中的漏洞。此外，许多黑客团伙正在利用勒索软件和拒绝服务攻击获取经济利益。

除了勒索软件攻击事件的增加，攻击的成本也在增加。勒索软件使公司的数字网络和相关设备瘫痪。因为敏感的商业数据被破坏或者泄露，商业运作，尤其是供应链都会会受到影响——因此，公司更愿意支付赎金。

但从理论上讲，即使公司支付赎金，也不能保证敏感数据没有被复制。同样，也不能保证攻击者将返回所有数据或解密密钥将起作用。在Colonial的案例中，黑客在收到支付赎金后给他们的解密密钥太慢了。他们不得不使用备份文件，其中损失无法评估。

防止勒索软件感染

安全专家建议被勒索公司不要向黑客们支付赎金，因为这会鼓励他们发动更多的攻击。

他们还给出一些防止此类攻击的方法包括：

与网络安全公司合作，网络安全公司提供最适合企业当前和未来需求的安全系统需求。

保持警惕是防止感染的另一种方法。如果您的系统没有明显的原因而速度减慢，请断开与internet的连接并将其关闭。然后，您可以致电您的网络安全提供商并寻求他们的帮助。

除了确保网络安全的技术层面，有时回到基础是值得的。

利用安全培训，让员工更好地了解网络安全的重要性和意义。此外，员工应学会确保保护整个公司免受网络攻击。

训练你自己和你的员工不要点击未经证实来源的链接，因为网络钓鱼链接是传播恶意软件的一种方法，使你的公司成为一个容易攻击的目标。

练习创建数据的定期备份。至少有两个数据备份，并将它们存储在不同的位置。只允许最信任的员工访问备份。

使用数据加密来保护电子邮件、文件交换和个人信息。

确保定期升级所有应用程序，以便修复漏洞。

使用密码管理器确保所有员工都有更强大的密码。指导员工使用不同的密码登录到公司中使用的其他应用程序。

总结

勒索软件攻击之所以猖獗，是因为它们的易用性和盈利能力。了解黑客团伙的活动并为员工提供网络安全培训至关重要。结合技术专长和基本的安全措施将有助于减少勒索软件的感染。但是，重要的是不要惊慌，并且知道应该遵循的安全措施。

企业怎么防范软件供应链攻击？

般情况下，企业团队会通过开源软件中的一些漏洞来处理对系统的攻击（比如：equifax apache struts、Log4j 和 Solarwinds Hack ）。

但实际上，还有很多没有得到过多关注的漏洞，最终给企业造成了很大的损害，因此JFrog Pyrsia通过提高开源软件的安全性和信任度来保护软件的开发和供应链。Pyrsia 是一个去中心化的包网络，它通过以下方式为供应链的关键部分提供解决方案：一是通过经过认证和同行验证的构建，为在软件开发中用作依赖项的开源包建立信任。二提供一个去中心化的包网络，它可以理解包坐标、语义和可发现性⌄并且即使发生本地中断也能继续工作。

供应链软件是什么？

供应链软件一般指供应链管理软件。供应链管理是指把供应商、制造商、经销商、零售商、客户等一条供应链上的各个节点联系起来并进行优化，使生产资料快速高效地加工、分销成为增值的商品，最后到达到客户手上。使整条供应链的节点的总体利益最大化的过程。

供应链综合管理软件是基于协同供应链管理的思想，配合供应链中各实体的业务需求，使操作流程和信息系统紧密配合，做到各环节无缝链接，形成物流、信息流、单证流、商流和资金流五流合一的领先模式。实现整体供应链可视化，管理信息化，整体利益最大化，管理成本最小化，从而提高总体水平。

扩展资料：

现今，供应链软件提供商正在向三个应用方向迈进：

1、一是改善软件的分析、组织和提供实时数据的能力；

2、二是直接把供求变化情况整合到供应链管理之中；

3、三是帮助供应链中所涉及的多家厂商实现更好的合作。

供应链软件提供商开始注重提高软件的各种能力，使之超越其传统的计划功能，能帮助制造商在事情没有按计划进行的情况下快速做出反应。这个世界变化多端，制造商已经无法再按照程式化的模式来运作。

另外，库存优化是供应链所面临的关键挑战。有好的库存，也有不好的库存。虽然有必要留有库存以保证准时向客户交货，但多数制造商的库存超过了实际的需要。由于存在两个相反的作用力，找到恰当的平衡点变得越来越困难。

市场要求制造商更迅速地交货，这促使它们在手头上保留更多的库存；另一方面，产品生命周期变得越来越短，为制造商的库存带来财务风险。

另一方面，外包业务的迅速扩散使供应链管理变得更加复杂，这为提高供应链可见度的应用软件带来发展空间。OEM希望“看到”合同制造商的工厂，甚至检查这些合同制造商的供应商情况。当为其无线手机签订一个大型合同时，它需要通过一种手段远程监控它在墨西哥的合同制造伙伴的质量检测情况。

参考资料来源：百度百科-供应链管理软件

勒索病毒如何传播?

加密勒索类病毒"，其主要传播方式有哪些

电脑病毒传播的方式可能有很多种；比如：上网浏览网页，下载软件文件，接受别人发来的东西，连接U盘手机，放光盘，漏洞没有修复，导致病毒入侵。很多可能。反正病毒无处不在，想要电脑不中毒，除非你的电脑什么也不干。那么你就要定期杀毒，通过安全软件来主动防御是最好的做法了，因为只要在后台运行，就可以发现病毒，如腾讯电脑管家就有实时防护功能，可以第一时间发现并彻底清理病毒。

谁能告诉我勒索病毒是怎么传播的吗？

该病毒是通过扫描445端口进行入侵的!该病毒并不是最近才流行的,而是最近在国内流行!

扫描端口进行入侵,也不是什么新鲜的事情了,只是该病毒被一些媒体吹嘘过于强大

并且微软已经作出了解决方案,千万别听信什么关掉系统自动更新补丁!自动更新补丁是微软得知系统漏洞,且把漏洞修复,是有益无害的

勒索病毒是怎么中的

很多勒索病毒都是通过邮件来的，陌生人发的邮件安全性没有保障，邮件来源也无法证实，打开具有一定的风险性。有些邮件传输病毒是通过里面的附件、图片，这种情况打开邮件没事，下载附件运行图片就会中毒。

还有些邮件不是通过附件传播的病毒，邮件内容就有钓鱼网站的链接或者图片，点击进入就是个非法网站。html的邮件能够嵌入很多类型的脚本病毒代码，只要浏览就会中毒。

上网浏览网页，下载软件文件，接受别人发来的东西，连接U盘手机，放光盘，漏洞没有修复，也会导致病毒入侵。

勒索软件的传播得到控制后就安全了吗？

据悉，这个在国内被大家简称为“比特币病毒”的恶意软件，目前攻陷的国家已经达到99个，并且大型机构、组织是头号目标。

在英国NHS中招之后，紧接着位于桑德兰的尼桑造车厂也宣告“沦陷”。西班牙除了最早被黑的通讯巨头Telefonica，能源公司Iberdrola和燃气公司Gas Natural也没能幸免于难。德国干脆直接被搞得在火车站“示众”。

这个被大家称之为“比特币病毒”的勒索蠕虫，英文大名叫做WannaCry，另外还有俩比较常见的小名，分别是WanaCrypt0r和WCry。

它是今年三月底就已经出现过的一种勒索程序的最新变种，而追根溯源的话是来自于微软操作系统一个叫做“永恒之蓝”（Eternal Blue）的漏洞。美国国家安全局（NSA）曾经根据它开发了一种网络武器，上个月刚刚由于微软发布了新补丁而被“抛弃”。

三月底那次勒索程序就叫WannaCry，所以如果你在外媒看到WannaCry 2.0或者WanaCrypt0r 2.0的说法，所指也是本次爆发的勒索程序。

随后，微软在3月发布的补丁编号为MS17-010，结果众多大企业们和一部分个人用户没能及时安装它，才让不知道从什么途径获取并改造了NSA网络武器的WannaCry有机可乘。

而且这回的勒索软件目标并非只有英国NHS，而是遍布全球，总觉得有种“人家不是只针对英国医疗系统”一样、奇怪的“有人跟我一样糟就放心”了的潜台词。虽然最后事实证明确实全球遭殃。

但WannaCry最早从英国NHS开始爆发，真的只是巧合吗？

对于任何勒索病毒而言，医院都是最有可能被攻击的“肥肉”：医护人员很可能遇到紧急状况，需要通过电脑系统获取信息（例如病人记录、过敏史等）来完成急救任务，这种时候是最有可能被逼无奈支付“赎金”的。

医疗信息与管理系统学会的隐私和安全总监Lee Kim也解释说，出于信息储备过于庞大以及隐私考虑，“在医疗和其他一些行业，我们在处理这些（系统）漏洞方面确实会不那么及时”。这也是为什么科技领域普遍认为WannaCry幕后黑手的时机把握得非常巧妙，毕竟微软更新MS17-010补丁还不到两个月。

从开发并释放WannaCry人士角度来考虑这个问题，他们其实并不在乎具体要把哪个行业作为攻击目标，因为他们的逻辑就是任何有利可图的领域都是“肥肉”，都要上手捞一笔。所以他们确实并不是非要跟英国NHS过不去，只不过是好下手罢了。

个人电脑用户被攻击的比例比企业和大型机构低很多，这不仅仅是因为个人电脑打补丁比较方便快捷，也因为这样攻击不仅效率不高、获利的可能也更小。WannaCry的运作机制，根本就是为局域网大规模攻击而设计的。

这样看来，前面提到的全世界其他受攻击大型企业和组织，无论交通、制造、通讯行业，还是国内比较惨烈的学校，确实都是典型存在需要及时从数据库调取信息的领域。

至于敲诈信息的语言问题，Wired在多方蒐集信息后发现，WannaCry其实能以总共27种语言运行并勒索赎金，每一种语言也都相当流利，绝对不是简单机器翻译的结果。截至发稿前，WannaCry病毒的发源地都还没能确认下来。

与其说WannaCry幕后是某种单兵作战的“黑客”，倒不如说更有可能是招募了多国人手的大型团伙，并且很有可能“醉温之意不在酒”。毕竟想要简单捞一笔的人，根本没有理由做出如此周全的全球性敲诈方案。

WannaCry在隐藏操作者真实身份这方面，提前完成的工作相当缜密。不仅仅在语言系统上声东击西，利用比特币来索取赎金的道理其实也是一样：杜绝现实货币转账后被通过汇入账户“顺藤摸瓜”的......

什么是勒索病毒

WannaCry（想哭，又叫Wanna Decryptor），一种“蠕虫式”的勒索病毒软件，大小3.3MB，由不法分子利用NSA（National Security Agency，美国国家安全局）泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播[1] 。

该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB)，以类似于蠕虫病毒的方式传播，攻击主机并加密主机上存储的文件，然后要求以比特币的形式支付赎金。勒索金额为300至600美元。

2017年5月14日，WannaCry 勒索病毒出现了变种：WannaCry 2.0，取消Kill Switch 传播速度或更快。截止2017年5月15日，WannaCry造成至少有150个国家受到网络攻击，已经影响到金融，能源，医疗等行业，造成严重的危机管理问题。中国部分Window操作系统用户遭受感染，校园网用户首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。

目前，安全业界暂未能有效破除该勒索软件的恶意加密行为。微软总裁兼首席法务官Brad Smith称，美国国家安全局未披露更多的安全漏洞，给了犯罪组织可乘之机，最终带来了这一次攻击了150个国家的勒索病毒。

PS:以上资料来自百度百科。

Petya勒索病毒怎么传播的 传播方式是什么

数据传播，注意保护

试试腾讯电脑管家，已经正式通过了“全球最严谨反病毒评测”，斩获AV-TEST证书。至此，腾讯电脑管家已经相继通过了Checkmark(西海岸)、VB100、AVC三项国际最权威的反病毒测试，包揽“四大满贯”，杀毒实力跻身全球第一阵营

勒索病毒是怎么传播的

“CTB-Locker”病毒主要通过邮件附件传播，因敲诈金额较高，该类木马投放精准，瞄准“有钱人”，通过大企业邮箱、高级餐厅官网等方式传播。请及时升级最新版本的360安全卫士，在其中找到“NSA武器库免疫工具”有很好的防护效果

专家揭＂勒索病毒＂真面目今日或再迎病毒传染高峰是怎么回事？

12号，全球近百个国家和地区遭受到一种勒索软件的攻击，有网络安全公司表示，目前全球至少发生了约7万5千起此类网络攻击事件。事件发生后，受波及的多国采取应对措施，欧洲刑警组织也对“幕后黑手”展开调查。

13号，欧洲刑警组织在其官网上发布消息称，欧洲刑警组织已经成立网络安全专家小组，对发动本轮网络攻击的“幕后黑手”展开调查。此外，欧洲刑警组织还开始与受影响国家的相关机构展开紧密合作，共同应对网络攻击威胁，并向受害者提供帮助。

据报道，电脑被这种勒索软件感染后，其中文件会被加密锁住，支付攻击者所要求的赎金后才能解密恢复。网络安全专家说，这种勒索软件利用了“视窗”操作系统的一个名为“永恒之蓝”的漏洞。

微软发布相关漏洞补丁

美国微软公司12号宣布针对攻击所利用的“视窗”操作系统漏洞，为一些它已停止服务的“视窗”平台提供补丁。

英全民医疗体系电脑系统恢复正常

在本轮网络攻击中，英国NHS，也就是全民医疗体系旗下多家医疗机构的电脑系统瘫痪。目前，除了其中6家外，其余约97%已经恢复正常。英国首相特雷莎·梅13号发表讲话，称英国国家网络安全中心正在与所有受攻击的机构合作调查。

事实上，这次大规模的网络攻击并不仅限于英国。当地时间12号，俄罗斯内政部表示，内政部约1000台电脑遭黑客攻击，但电脑系统中的信息并未遭到泄露。同样遭到攻击的美国联邦快递集团表示，部分使用Windows操作系统的电脑遭到了攻击，目前正在尽快补救。西班牙国家情报中心也证实，西班牙多家公司遭受了大规模的网络黑客攻击。电信业巨头西班牙电信总部的多台电脑陷入瘫痪。

研究人员：全球损失不可估量

美国著名软件公司赛门铁克公司研究人员13号预计，此次网络攻击事件，全球损失不可估量。

赛门铁克公司研究人员表示，修复漏洞中最昂贵的部分是清空每台受攻击的电脑或服务器的恶意软件，并将数据重新加密。单单此项内容就将花费高达数千万美元。

据路透社报道，软件公司关于修复漏洞的高额损失并没有包含受影响的企业所遭受的损失。

我国相关部门采取防范措施

由于这个勒索蠕虫病毒的发展速度迅猛，不仅在世界范围内造成了极大的危害，对我国的很多行业网络也造成极大影响，目前已知遭受攻击的行业包括教育、石油、交通、公安等，针对这个情况，公安部网安局正在协调我国各家网络信息安全企业对这个勒索蠕虫病毒进行预防和查杀。

据公安部网安局专家介绍，虽然目前国内部分网络运营商已经采取了防范措施，但是在一些行业内网中依然存在大量漏洞，并成为攻击目标，而一旦这些行业内部的关键服务器系统遭到攻击，从而将会带来很严重的损失。

公安部网络安全保卫局总工程师 郭启全：因为它是在互联网上传播，互联网是连通的，所以它是全球性的。有些部门的内网本来是和外网是逻辑隔离或者是物理隔离的，但是现在有些行业有些非法外联，或者是有些人不注意用U盘又插内网又插外网，因此很容易把病毒带到内网当中。

据记者了解，这个勒索蠕虫病毒会在局域网内进行主动攻击，病毒会通过文件共享端口进行蠕虫式感染传播，而没有修补系统漏洞的局域网用户就会被病毒感染。

公安部网络安全保卫局总工程师 郭启全：现在我们及时监测病毒的传播、变种情况，然后还是要及时监测发现，及时通报预警，及时处置。这几天，全国公安机关和其他部门和专家密切配合，特别是一些信息安全企业的专家，尽快支持我们重要行业部门，去快速处置，快速升级，打补丁，另外公安机关还在开展侦查和调查。

勒索蠕虫病毒真面目如何?

5月12日开始散播勒索蠕虫病毒，从发现到大面积传播，仅仅用了几个小时，其中高校成为了重灾区。那么，这款病毒......

勒索病毒是什么

首先，这次的病毒仅仅是通过加密把你的文件全锁住，并不会盗你的东西

其次，关于这次的病毒请看下面：

本次全球爆发的勒索病毒是利用Windows系统的漏洞，通过445端口传播的。

也就是说，如果你是：未打补丁、并且开启445端口的Windows系统，只要联网就有非常大的机率被感染。

1、如果你是mac系统、linux系统、开启更新的win10系统（win10早在今年3月就打了本次漏洞的补丁），不用担心你不会中。

2、如果你是另外的系统，不过你的是家用机且关闭了445端口也打了更新补丁，不用担心你不会中。

3、如果你是另外的系统又没有关445端口还没打系统更新补丁，有很大机率中。

Petya勒索病毒为什么传播这么快 传播方式是什么

Petya勒索病毒是一种新型勒索病毒，危害极大 只需要安装电脑管家，并及时修复所有系统漏洞补丁 上网过程中不要点击可疑附件，即可免疫Petya勒索病毒攻击

软件供应链漏洞来源

主要有以下几种：

一：缓冲区溢出（buffer overflows）

缓冲区溢出是软件安全漏洞的主要来源。所谓缓冲区溢出，指的就是代码写入的数据超过了缓冲区的边界，比如向大小10KB的缓冲区写如12KB的数据，那么这个缓冲就溢出了。当然，前向溢出也算溢出，也就是写入的数据写入到了缓冲区的起始边界之前。

缓冲区溢出是一种比较常见的编码错误，特别是在字符串处理过程中。缓冲区造成的危害也是比较多样的。比较轻微的就是程序直接崩溃，除了用户体验也没什么大损失；比较严重的就是错误的写入覆盖了其他敏感数据，造成数据的丢失；最严重的莫过于执行恶意代码，因为数据写入越界，恶意代码可以将原先正常的函数返回地址修改为自己的代码，从而获得整个软件的执行权。

缓冲区溢出根据溢出的内存类型分为：

栈溢出（stackoverflow）

栈内的数据溢出。

堆溢出（heap overflow）

堆内的数据溢出，

根据溢出的类型可分为overflow及underflow

overflow，写入的数据超过了缓冲的边界

underflow, 缓冲中有用数据的大小小于缓冲区长度，这有可能造成脏数据的问题

二：未验证输入（Unvalidated Input）

一款应用往往需要接收各种各样的输入，针对一款iOS应用，主要的输入有读取文件，读取用户输入，读取网络传输数据，或通过URL被启动（URL

Schema）。各种类型的输入都有可能是非法的，甚至是恶意的，所以针对所有类型的输入，应用都要进行检验，确保输入的数据是符合程序要求的，合理的，合法的数据。

非法输入可能造成的危害主要有：

输入的数据大于接收缓冲，会造成缓冲溢出

格式化字符串注入，对这些字符串进行处理时，如果不小心会造成程序的崩溃，或某些敏感数据被篡改

URLSchema中的命令为恶意命令，执行了恶意的命令

代码注入，输入的URL或命令中带有脚本、代码等恶意片段

三：竞争条件（Race Condtions）

如果一个任务的完成需要几个特定的子任务以特定的顺序完成来完成，那么这个任务就是存在竞争条件这个漏洞的。黑客可以通过修改事件完成的顺序来改变应用的行为。

竞争条件类型的漏洞主要有以下两种：

Time of Check Versus Time of Use （TOCTOU）

应用运行的过程中，在某个操作之前，比如写文件，都会检查一下文件是否存在，在检查与真正的写入之间的间隔就是一个可以被利用的Race Condition，恶意软件可以将用户检查的文件替换成自己的文件，这样数据就泄露了。

Signal Handling

处理信号的过程中，是随时可以被另一个信号的处理打断的，如果在处理一个信号的过程中另一个信号到来，那么这个过程会被马上中断，这样，系统就会处于一种未知的状态。

四：进程间通信（Interprocess Communication）

进程间通信采用的方法很多，共享内存，管道，油槽等，由于通信管道两端的应用的不同，那么，有可能存在这钟管道被恶意利用的肯能性，也就是说，进程间通信也是软件漏洞的一个来源，当与另一个应用通信的时候，要默认此应用是不安全的，要对通信的内容进行安全方面的验证。

五：不安全的文件操作（Insecure File Operation）

应用对文件进行处理时，若果没有进行进行有效的验证，那么有可能处理的文件已经是被恶意软件修改过的，是不安全的。所以，进行有效的验证是安全处理文件的重要保证。不安全文件操作类型有以几种：

读取或写入一个位于其他应用也拥有读写权限路径下的文件。

对文件信息，例如权限等信息没有进行有效验证便进行处理。

对文件操作的返回结果没有进行有效利用

假定一个拥有本地文件名的文件就是真正的本地文件。

六：权限控制问题(Access Control)

很多情况下，权限控制是安全机制保证的核心，同时也是漏洞的主要来源。每个应用都有与其匹配的权限，应用申请的权限应该物尽其用，不能申请超过自身需求的权限，而很多的软件漏洞就是因为应用申请了超过自身需求的权限，比如root权限，然后被恶意软件利用，也就有了对整个系统执行所有操作的权限。

很多情况下，对权限的申请进行验证是明智的选择，例如输入用户名及密码来提升权限。注意，在采用验证机制时，最好使用系统内置的权限验证方法，而不是自己取实现，这里需要额外提一下，权限控制是操作系统级别的，当硬件设备被控制时，各种权限的控制也就显得无力，这种情况下，数据的加密保护就显现出了其价值。

七：文件的安全存储与加密（Secure Storage and Encryption）

iOS系统提供了多种机制保证用户的数据安全，具体细节在我的另一篇译文: iOS安全机制概览中有较详细的描述，这里不在重复，不过有一点需要额外说明，安全机制方面尽量使用系统自带的机制，在安全性与可靠性上，系统提供机制往往比自身实现的加密保护机制要可靠的多。

八：社会工程（Social Engineering）

用户往往是安全保证机制中那薄弱的一环。即使提供再强大的安全保全机制，如果用户安全意识薄弱，同样会出现问题。很简单的例子，比如用户将密码设置的非常复杂，服务器端数据库的安全保证也很周全，黑客完全无法通过技术手段窃取用户密码，可黑客一个伪装客服的电话就完全有可能将用户的密码从用户的口中骗取到。

标签：软件供应链攻击是什么意思