360：中国政企软件供应链攻击现状分析报告

软件供应链攻击能够成功的关键在于它充分利用了软件供应商自身存在的监管不严、不自律、漏洞等问题，在合法软件下载安装、更新维护、信息推送的过程中，利用用户与软件供应商之间的信任关系，成功绕开传统安全产品的围追堵截。合法软件包括安全杀毒、休闲娱乐、搜索下载、办公软件、行业软件、股票网银、定制软件、图形图像等多种类型。这些软件中，既包含付费软件，也包含免费软件。政企机构中的免费软件，大多是员工通过互联网渠道自行下载安装的。政企机构中，办公软件的安装量最高，占比为30.1%；其次是休闲娱乐软件，占比为14.6%；行业软件（特定行业使用的专用软件）排名第三，占14.4%。政企机构中，安全软件的覆盖率最高，高达95.2%；其次是休闲娱乐软件，占比为45.2%；搜索下载软件排名第三，占比为37.7%。在政企机构使用量最多的400款软件中，免费软件的安装量高达60.2%，付费软件的安装量则为39.8%；免费软件的覆盖率为79.5%，付费软件的覆盖率则高达95.2%。根据不同行业中各类软件的实际使用情况，建议政府单位特别关注办公软件、定制软件的安全问题，建议金融单位特别关注行业软件、搜索下载软件的安全问题