زنجیره تامین ( Supply Chain )
مجرمان سایبری به این نتیجه رسیده اند که حمله و استفاده از آسیب های موجود در زنجیره تامین ( Supply Chain ) یک محصول و کالای دیجیتال ، میتونه سرمایه گذاری بسیار مناسبی باشد.
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
زمانی که در دسامبر 2020 و شرکت آمریکایی SolarWinds اعلام کرد که محصول Orion این کمپانی مورد حمله زنجیره تامین قرار گرفت، دوره جدیدی از حملات زنجیره تامین آغاز شد.
این نوع حملات از آن رو حملات زنجیره تامین نامیده میگردد که بجای حمله مستقیم به یک شرکت، محصولات و یا خدمات آن شرکت(به عنوان نمونه یک نرم افزار) و یا محصول یک شریک تجاری مورد اطمینان آن(مانند نرم افزار های مورد نیاز آن محصول و یا کتابخانه های آن) شرکت آلوده می گردد.
به عنوان نمونه مخاطره جدید که بر اساس آسیب پذیری Log4j (یک کتابخانه جاوا که بصورت پیش فرض معمولا در تمام نرم افزار های ساخته شده بر اساس جاوا وجود دارد) توانست تهدید های بسیار زیادی را بوجود بیاورد.
یا به عنوان نمونه ای دیگر، در 11 جولای 2021 که پکیج پایتون در منبع کد باز PyPl(مخزن رسمی نرم افزار شخص ثالث پایتون) قرار گرفت، مشخص شد شامل کد های آلوده و مخرب می باشد. این پکیج به میزان 41.000 بار دانلود شده بود.
پیش بینی میشود تا سال ۲۰۲۵ حدود ۴۵٪ سازمان ها در جهان با حملاتی از این قبیل بر روی نرم افزار های مورد استفاده خود روبرو شوند.
به عنوان یکی از دلایل افزایش این حملات میتوان به این نکته اشاره کرد که استفاده از نرم افزار ها در سازمان ها و شرکت ها به مراتب افزایش یافته است. برای کمتر کردن احتمال این مخاطره بهتر است شرکت ها و سازمان ها با علم کامل و حداقل نیازمندی ها( عدم استفاده از قابلیت های اضافی سامانه ها) شروع به استفاده از سامانه ها کنند و همواره آنها را بروز نگه دارند.
لذا باید توجه داشت محصولاتی که می بایست به شبکه اضافه شوند با دقت بیشتری و متناسب با نیاز انتخاب شوند و همواره تلاش شود که محصولات سخت افزاری و نرم افزاری را با آخرین بروز رسانی ها ایمن نگاه داشت.