【安全资讯】捷豹路虎遭供应链攻击重创，制造业安全开发生命周期成焦点

概要：

在网络安全威胁日益严峻的今天，针对制造业供应链的攻击正带来前所未有的破坏力。近期捷豹路虎（JLR）遭遇的严重网络攻击事件，不仅导致其生产停摆数周，更对英国经济造成数十亿美元损失，波及近5000家组织。这一事件凸显了制造业在软件供应链安全上的脆弱性，并将安全软件开发生命周期（SSDLC）的重要性推至前台。

主要内容：

此次JLR攻击的源头被追溯到其供应链中第三方承包商凭证的泄露。攻击者通过渗透软件开发工具和流程，成功入侵了制造商的数字防线。这并非孤立事件，类似手法曾出现在SolarWinds、Kaseya VSA及3CX等知名供应链攻击中。近期，攻击者更发展出通过发布恶意的Node包管理器（NPM）来污染开发流程的新策略，例如Shai-Hulud密码窃取程序就感染了超过500个NPM包。

攻击之所以能成功，核心在于许多制造商及其合作伙伴在采购评估中，过度关注供应商财务健康与服务协议，却严重忽视了软件开发过程中的安全实践。这导致从设计阶段就存在的漏洞可能一路潜伏至最终产品中。当恶意NPM或存在漏洞的第三方组件被集成到工业控制软件中时，攻击便可能迅速扩散并长期潜伏。

为应对此威胁，采用严格的安全软件开发生命周期（SSDLC）至关重要。SSDLC要求将安全内嵌于软件创造的每个环节，从需求分析、安全编码、依赖管理到安全发布。对于制造业而言，这意味着控制生产线、管理关键系统的软件从第一行代码到最终部署都需具备安全性。欧盟NIS 2指令已强制要求正式的SSDLC流程。

在实践层面，制造商应要求供应商获得如IEC 62443-4-1等针对工业环境的权威认证，该标准专门关注产品安全开发生命周期。制造商需将SSDLC标准嵌入采购流程，持续评估合作伙伴的安全成熟度，而不再仅将其视为基础设施层面的合规检查。唯有如此，才能从根本上防范类似JLR的灾难性攻击重演。