标签归档:供应链

供应链攻击

供应链攻击是一种以软件开发人员和供应商为目标的新出现的威胁。 目标是通过感染合法应用来分发恶意软件来访问源代码、构建过程或更新机制。

供应链攻击如何工作

攻击者搜寻不安全的网络协议、未受保护的服务器基础结构和不安全的编码实践。 它们在生成和更新过程中会中断、更改源代码并隐藏恶意软件。

由于软件由受信任的供应商生成和发布,因此这些应用和更新已经过签名和认证。 在软件供应链攻击中,供应商可能不知道他们的应用或更新在公开发布时受到恶意代码的感染。 然后,恶意代码以与应用相同的信任和权限运行。

鉴于某些应用的热门程度,潜在隐患的数量很大。 发生了一种情况,其中免费文件压缩应用被病毒化,并部署到作为顶级实用工具应用的国家/地区的客户。

一般软件供应链分三个环节,每个环节都可能被攻击。

1、生产节点被攻击(开发软件) 
软件开发涉及到的软硬件开发环境、开发工具、第三方库、软件开发实施等等,并且软件开发实施的具体过程还包括需求分析、设计、实现和测试等,软件产品在这一环节中形成最终用户可用的形态。 

  • 攻击案例:xCodeGhost, xshell攻击 

2、交付节点被攻击(软件上线的平台、硬件) 
用户通过软件官网、公共仓库、在线商店、免费网络下载、购买软件安装光盘等存储介质、资源共享等方式获取到所需软件产品的过程。受攻击对象比如著名的软件下载站、Python官方镜像源、Github等。 

  • 攻击案例:中文版Putty后门事件、思科后门事件

3、使用节点被攻击(软硬件使用者) 使用软硬件产品的整个生命周期,包括产品更新升级、维护等过程。 

  • 攻击案例:powercdn软件升级劫持攻击

根据赛门铁克2019 年《互联网安全威胁报告》,供应链攻击和离地攻击现已成为网络犯罪的主流:2018年供应链攻击增加了78%。特别在很多发布平台的安全能力较弱甚至没有的情况下,软件供应链攻击仅需要作者的一个上传、发布即可轻松完成钓鱼。

供应链攻击的类型

  • 损坏的软件生成工具或更新的基础结构
  • 被盗的代码签名证书或使用开发人员公司的标识签名的恶意应用
  • 硬件或固件组件中附带的已泄露的专用代码
  • 在相机、USB、手机 (设备上预安装的恶意软件)

如何防范供应链攻击

  • 部署强代码完整性策略以仅允许运行授权的应用。
  • 使用可以自动检测和修正可疑活动的终结点检测和响应解决方案。

适用于软件供应商和开发人员

  • 维护高度安全的生成和更新基础结构。
    • 立即为操作系统和软件应用安全修补程序。
    • 实施强制完整性控制,以确保仅运行受信任的工具。
    • 要求管理员进行多重身份验证。
  • 构建安全的软件更新程序,作为软件开发生命周期的一部分。
    • 更新通道和实现证书固定需要 SSL。
    • 对一切内容进行签名,包括配置文件、脚本、XML 文件和程序包。
    • 检查数字签名,不要让软件更新程序接受常规输入和命令。
  • 制定针对供应链攻击的事件响应流程。
    • 披露供应链事件,并及时准确地通知客户

附录:
[1] xCodeGhost:https://security.tencent.com/index.php/blog/msg/96
[2] xshell攻击:https://security.tencent.com/index.php/blog/msg/120
[3] 中文版Putty后门事件:https://www.cnbeta.com/articles/tech/171116.htm
[4] 思科后门事件: https://www.guancha.cn/TMT/2014_03_31_218296.shtml
[5] powercdn软件升级劫持攻击:https://www.freebuf.com/news/140079.html

To B To C:在未来,什么样的公司,有机会转型成功?

最近,听到很多这样的说法:“得To C者得天下”,“赢To B者赢未来”。

作为商业顾问,和很多企业交流时,发现大家似乎都很焦虑。或自救,或赌博,或布局。

总之,都要转型。

To C的企业,想要转To B。比如腾讯。从深耕消费互联网,到拥抱产业互联网。

To B的企业,想要冲出原来的价值链,让大众认识自己,走到台前。每一个To B的企业,都有一个To C的梦想。

但是,但是,他们常常不能互相理解,不明白两个业务的区别。

我见过太多企业,船头一转,遇见了风暴,撞上了冰山。

因为不懂本质,所以死于转型。

To B和To C的区别到底是什么?又该怎么办?


1.To C的本质是什么?

相对于To B的生意,To C的特点,总体来说是四个:

单价金额小、复购相对高、决策流程短、冲动消费多。

如果说最重要的一个区别,应该是决策流程短。

到底有多短?太短了。短到电光石火,短到在当下那一刻没有抓住用户,就可能永远失去他。

有人专门做过研究,消费者在线下购买一个产品,平均的决策时间是13秒。在线上,好一点,但也没好到哪去,是19秒。

这意味着什么?

这意味着不管线上线下,消费者对于商家的好恶抉择,竟然在20秒内就决定了。

今天的消费者,越来越没耐心。

2000年,人类的平均注意力还有12秒。到了2013年,只剩下8秒了。要知道,金鱼还有9秒呢……

在专注这件事上,人不如鱼,人不如鱼。

你根本没有时间说服消费者。你说,来来来,给我一个小时的时间,让我给你讲讲我们的产品为什么好吧。结果你刚清了清嗓子,消费者已经走出十步远了,头都不回。

所以产品必须做到极致,让消费者第一眼就产生购买的欲望和冲动。

这就是为什么,互联网公司的产品经理们,会为了按钮是放在左边还是右边吵一整天,为了界面是什么颜色争执得要打起来。

这也是为什么,零售超市的销售经理们,会为了产品包装绞尽脑汁,为了产品陈列的位置大打出手。

甚至有人专门为产品的竞争力取过名字,叫“静销力”。

一个好产品,哪怕是静静躺在那里,你都忍不住走过去。哎呀,太好了!深得我心,爱不释手!然后放入了购物车。

在To C的生意中,产品是基础。有了不错的产品,再加上营销和渠道,拿下消费者。

营销就像空军,广告宣传,狂轰滥炸,目的只有一个,占领用户心智,在脑海里写下“只能买我”四个大字。

渠道就像地面部队,在一切可能的触点上,与用户相遇、相知、相爱。

所以To C生意的基本打法,是打磨产品,是死磕体验,是低价,是巨量。然后遇到消费者,瞬间拿下。

To C的生意,是闪电战。


2.给想转型To C企业的建议

我给过很多企业建议,尤其是To B的传统企业,如果想要成功进入To C的领域,最重要的一件事情,是真正做到“以用户为中心”。

很多人听完之后,哈哈大笑。

你这不是废话吗,我们一直都是以用户为中心啊,不然我们怎么做到今天呢。

哦?真的吗?

我说,那为什么To C企业开会都叫“合作伙伴大会”,你们开会就喜欢叫“客户答谢会”呢?

你是要答谢谁?

是代理商。是经销商。是门店。

你认为他们才是你的客户,你认为把东西卖给他们就算是结束了,你认为他们才是应该答谢的对象。

但是,他们只是你的合作伙伴。你只有一个客户,也是唯一的客户,是消费者。

当你把代理商和门店当成客户,说明你对产品的专注是不够的,你心里装着的不是消费者,而是怎么能让下面的代理商帮自己多卖东西。

语言背后折射出来的是一种心态。如果抱有这种心态,是做不好To C的。

这也是为什么,用户会拼命吐槽一些产品和服务。

比如难用到想打人的APP,比如灾难级别的界面,比如让人抓狂痛苦的交互设计。

你真的懂什么是“以用户为中心”吗?你真的懂吗?

他们听完之后,一身冷汗。

To B企业想要进入To C领域,技术上能不能死磕产品,给予用户极致体验?

心态上能不能接受从一笔赚几百万的大单子,转变为一单只能赚几百,甚至几十块的小钱?

能做到吗?


3.To B的本质是什么?

To B的本质,和To C的生意正相反,总体来说也是四个:

单价金额大,复购相对低,决策流程长,冲动消费少。

如果说最重要的一个区别,应该是决策流程长。

有多长?太长了。长到几乎可以抹平一切的冲动,让所有冲动购买最终趋于平静。

To C的消费决策,以“秒”计。To B的消费决策,以“月”计,甚至以“年”计。

假如你要买一部华为手机,再贵再贵,一万多块钱也差不多了。如果你特别喜欢,咬咬牙,一个月工资,也就买了。

但是你要买华为一套交换机设备,那可不是一万块钱的事,一个基站就是几百万,一个单子可能上亿。

就算再喜欢,再冲动,但是几百万上亿的金额,哪怕把牙咬碎,嚼成粉末,全部咽到肚子里,也没办法迅速决策。

怎么办?要审批。要走流程。

这个流程一般是什么?

开会立项,我们到底要采购什么。

在供应链名单中找到几家供应商,招投标。

几十页几百页的标书,递到你跟前,供应商在台上讲PPT,我们为什么好,我们和竞争对手的差距是什么,为什么你一定要选择我……

然后,评估打分。

每个部门都有自己的采购方向,每个部门也有自己的采购流程,中间可能还牵涉技术决策人,商务负责人,运营经理的利益和关系。

如果采购的金额比较大,需要部门总经理决定,如果更大,甚至需要总裁签字批准。

采购完之后,还要交付。系统怎么安装,人员怎么培训。

假如出了问题,还有售后。这个问题怎么解决,那个问题怎么处理。

等等,等等,等等……

我写着觉得复杂,你听着也觉得复杂,如果你真的看过会觉得更复杂,如果你做过才知道真的无比复杂。

所以To B的生意,不是靠产品和冲动消费来拿下客户的。

必须要有BD,必须要有销售,冲进去,一直讲,一直讲,一直讲。影响,影响,影响。

这也是为什么,在To B的生意里,我们经常听到有人要吃饭、喝酒、搞关系。甚至,不惜犯法行贿。

因为金额实在太大,链条实在太长,最终决策人的意见实在太值钱。

To C的人总是认为,之所以那么复杂那么辛苦,就是因为产品不够好。

也许真的不是这样。

在申请换个灯泡都要花三天时间的企业里,做一项几百上千万上亿的决策,常常需要更久更久的时间。

To B的生意,除了依靠产品,更要依靠销售和服务,去磨,去耗,去说服,去影响。

To B的生意,是持久战,是消耗战,是堑壕战。


4.给想转型To B企业的建议

我也给过很多企业建议,尤其是To C的互联网企业,如果想要成功进入To B的领域,最重要的一件事情,是理解To B生意的复杂流程。

因为To B的复杂,已经复杂到不是产品好不好,而是复杂到我有没有这个权力。

甚至,我应不应该扛这个责任。

上面这句话,你可以慢慢体会。

不仅是依靠产品,更是依靠销售和服务。

想进入To B的领域,要有强大的销售团队和服务团队。要么自己建立,要么外包购买。

在To B的市场,可能会遇见很多你无法想象的野蛮要求,会碰见毫不讲理的甲方爸爸,会有许多讨价还价甚至尔虞我诈。

相对于To C的业务,To B看起来虽然都是大生意,但实际上都是辛苦钱。

这一点,能理解吗?

能接受吗?


5.理解本质,摆脱依赖

所以,在未来,什么样的公司,有机会能够转型成功?

To B和To C的本质区别,并不在于产品本身,也不是消费者的不同,而是业务逻辑的不同。

比如房子,虽然是面对To C的消费者,但决策流程却可能和To B一样长。

比如办公应用,像企业微信、钉钉,虽然是面对To B的企业,但特征却更像To C的产品。

To B和To C的不同,是单价金额的不同,是复购频率的不同,是决策流程的不同,是冲动消费的不同。

为什么转型这么难?

难的是,不理解业务的本质。

更难的是,不能摆脱原有业务逻辑的依赖。


最后的话

今天,外部环境多变,内部环境复杂,许多企业都想转型。

To B和To C企业互相羡慕,也互相遥望。

但是,To B不懂To C的产品和体验,To C不懂To B的流程和复杂。

转型是残酷的,是大概率要失败的。

但对于失败的人来说,失败的原因不仅仅是因为残酷本身,更是因为不知道自己败在了哪里。

除了勇气、决心、坚持,还有能理解业务的本质。

因为不懂本质,所以死于转型。

所以最重要的两点,第一是理解本质,第二是牢牢记住第一点。

希望这篇文章,能多多少少帮助企业理解两种模式的不同,提高成功的概率。能从50%,提高到60%,70%。或者仅仅是51%。

然后呢?怎么办?

还能怎么办。破除依赖,继续坚决勇敢地往前走吧。

原文链接:https://mp.weixin.qq.com/s/QGThbN4B_6f4802W8z9gag