“供应链”这个概念对于不同的行业可以有不同的含义。在网络安全中可以解释为相互链接并实施到组织IT 网络的硬件或软件解决方案,目的是实现最高效率。但是这些不受控制、未定期修补或更新的来源会带来网络攻击的风险。
而供应链攻击正是面向软件开发人员和供应商的新兴威胁。其目标是通过感染合法应用分发恶意软件来访问源代码、构建过程或更新机制。
攻击者会搜寻不安全的网络协议、未受保护的服务器基础结构和不安全的编码做法。 然后闯入并更改源代码,在生成和更新过程中隐藏恶意软件。
由于软件由受信任的供应商发布,因此这些应用和更新已经进行过签名和认证。因此在软件供应链攻击中,供应商可能也无法察觉到他们的应用或更新在向公众发布时感染了恶意代码。于是,恶意代码就获得了与应用相同的信任和权限。
由此,受破坏的软件在实际应用时会危及企业的数据或商业安全。
软件供应链可划分为开发、交付、运行三个大的环节,每个环节都可能会引入供应链安全风险然后遭受攻击,同时,上游环节的安全问题会传递到下游环节。
由于恶意程序的隐蔽性大大增强,安全检测难度加大。当攻击者通过供应链攻击散播的恶意软件是以加密技术锁住系统资料,并藉此勒索企业,就构成了勒索软件攻击。通常当供应链攻击和勒索软件攻击被一起使用时,会造成更大的危害。
举两个例子,2022年3月,网络安全企业Okta透露,由于其一家供应商(Sitel)遭到攻击,其部分数据被窃取。后续调查显示,主要原因是一名供应商员工在其个人笔记本电脑上提供客户服务功能。尽管泄密程度有限,客户账户或配置也没有出现任何更改,但反映出分包商的设备和自带设备在供应链攻击者眼里是一条有效的攻击途径。
每当添加额外设备,网络上未受管理和未经批准的设备就会加大潜在的攻击面。许多企业不知道连接了哪些设备、在运行哪些软件以及采取了哪些预防措施来防范恶意软件。
另外,随着云基础设施的广泛使用,也会存在内部威胁,因为并非所有软件供应链攻击都来自黑产。一名亚马逊员工利用作为亚马逊网络服务(AWS)内部人员的便利,盗取了1亿用户的信用卡资料,结果使云上租户Capital One遭到了严重的数据泄密。这次攻击暴露了使用云基础设施带来的危险。此类攻击主要是利用客户对云服务供应商给与的信任,如果云服务提供商受到威胁,客户的数据也可能面临威胁。
这里给大家分享一份Python全套学习资料,包括学习路线、软件、源码、视频、面试题等等,都是我自己学习时整理的,希望可以对正在学习或者想要学习Python的朋友有帮助!
CSDN大礼包:全网最全《全套Python学习资料》免费分享🎁
😝有需要的小伙伴,可以点击下方链接免费领取或者V扫描下方二维码免费领取🆓
1️⃣零基础入门
① 学习路线
对于从来没有接触过Python的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
② 路线对应学习视频
还有很多适合0基础入门的学习视频,有了这些视频,轻轻松松上手Python~
③练习题
每节视频课后,都有对应的练习题哦,可以检验学习成果哈哈!
因篇幅有限,仅展示部分资料
2️⃣国内外Python书籍、文档
① 文档和书籍资料
3️⃣Python工具包+项目源码合集
①Python工具包
学习Python常用的开发软件都在这里了!每个都有详细的安装教程,保证你可以安装成功哦!
②Python实战案例
光学理论是没用的,要学会跟着一起敲代码,动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。100+实战案例源码等你来拿!
③Python小游戏源码
如果觉得上面的实战案例有点枯燥,可以试试自己用Python编写小游戏,让你的学习过程中增添一点趣味!
4️⃣Python面试题
我们学会了Python之后,有了技能就可以出去找工作啦!下面这些面试题是都来自阿里、腾讯、字节等一线互联网大厂,并且有阿里大佬给出了权威的解答,刷完这一套面试资料相信大家都能找到满意的工作。
5️⃣Python兼职渠道
而且学会Python以后,还可以在各大兼职平台接单赚钱,各种兼职渠道+兼职注意事项+如何和客户沟通,我都整理成文档了。
上述所有资料 ⚡️ ,朋友们如果有需要 📦《全套Python学习资料》的,可以扫描下方二维码免费领取 🆓
😝有需要的小伙伴,可以点击下方链接免费领取或者V扫描下方二维码免费领取🆓