供应链面临的新型网络风险：从第三方厂商到美国关税说起-CSDN博客

聚焦源代码安全，网罗国内外最新资讯！

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

引言

所有行业企业对供应链网络威胁的担忧愈演愈烈。随着企业对第三方厂商、云服务和全球物流网络的依赖持续加深，网络犯罪分子也在利用这些互联系统中的漏洞发动攻击。攻击者首先通过未检测到的安全差距渗透第三方厂商建立落脚点，之后利用这些弱点来渗透主要业务合作伙伴的网络。之后，他们在关键系统中横向移动，最终获得对敏感数据、金融资产、知识财产甚至是运营控制的访问权限。

最近发生多起影响广泛的事件，如2024年全球最大的医疗支付处理企业之一 Change Healthcare 遭勒索攻击，展示了攻击者如何破坏供应链运营，窃取数百万患者多达6TB的受保护的医疗信息。这一事件是迄今为止美国关键基础设施遭受的最具破坏力的网络攻击之一，而它本可通过在目标远程服务器上部署简单的多因素认证机制避免。

和传统的针对单个组织机构的网络威胁不同，供应链攻击利用的是业务生态系统中最薄弱的环节。当企业寻求缓解风险时，有必要了解新兴威胁局势、风险最大的行业以及保护供应链所需的安全策略。此外，针对美国对外国商品征收新的关税，企业必须评估这些贸易政策是否会引入新的网络安全挑战或提高已有风险。

影响供应链的新兴威胁

勒索攻击：勒索软件已成为供应链所面临的最具破坏力的网络威胁之一。攻击者不断瞄准物流提供商、制造商和重要供应商，加密他们的系统并勒索高额赎金以换取运营恢复。2024年，为近1.5万家北美汽车经销商提供服务的软件提供商 CDK Global 遭勒索攻击。该恶意软件针对个人可识别信息如社保号码、银行账户详情和信用卡数据。之后，经销商被迫在数天甚至数月的时间内通过纸笔和向运输车辆部办事处物理传输音频记录的方式手动运营。这一攻击造成的重大运营破坏和金融损失，预计超过10亿美元。
软件供应链攻击：网络犯罪分子已将重心转移到攻陷软件厂商并将恶意代码注入可信任的应用和更新中。2024年4月，黑客将恶意 Visual Studio 项目上传到 GitHub，操纵搜索算法以提高可见性。这些项目包含类似Keyzetsu Clipper 的恶意软件，它旨在拦截和修复复制到剪贴板的密币钱包地址，将资金重定向到攻击者。
第三方凭据盗取：攻击者通常通过利用第三方厂商使用的弱认证措施来获得对企业网络的访问权限。钓鱼攻击、凭据填充和密码泄露使得黑客能够通过单个受陷厂商渗透多家组织机构。薄弱的厂商安全实践可导致攻击者越权访问关键系统，从而导致数据被盗和运营中断后果。
受AI驱动的网络攻击：人工智能已成为网络安全的双刃剑。企业使用AI进行威胁检测和防御，而网络犯罪分子利用AI来自动化钓鱼攻击、绕过安全控制以及识别供应链网络中的漏洞。受AI驱动的攻击使得黑客更容易逃避检测，从而增加了供应链网络威胁的频率和复杂度。
IoT和OT利用：供应链行动严重依赖于物联网（IoT）和运营技术 (OT) 设备，如智能传感器、自动化制造设备、医疗设备和联网物流系统。然而，很多 IoT 和 OT 设备缺乏健壮的安全措施，使其成为黑客眼中的目标。网络犯罪分子通过利用这些设备中的漏洞来发动分布式拒绝服务攻击、操纵生产流程或获得对企业网络的访问权限。

受影响最大的行业及原因

制造业和工业

制造商依赖全球供应链获取材料、硬件组件和物流服务。针对工控系统 (ICS) 和企业资源规划 (ERP) 软件的网络攻击可阻碍生产、延迟交付并造成经济损失。另外，知识财产盗取在这个行业是重大风险，因为黑客的目标是敏感的商业机密。

医疗和制药业

医疗行业严重依赖于第三方供应商、批发分发中心、研发、实验室设备和化学供应商、医院和诊所、政府买家等。医疗，具体而言是制药企业，必须管理最大的由数十家甚至数百家厂商组成的最大行业供应链之一。医疗供应链发生的攻陷可造成灾难性后果并攻陷医患数据、破坏医院运营、甚至影响关键医药的开发和/或分发。2020年发生的针对新冠疫苗供应链发动的攻击就是最好的证明。

零售和电商

零售商和电商企业依赖于物流提供商、支付处理器和数字化营销平台，它们都引入第三方网络风险。网络犯罪分子经常针对在线结账系统、仓库自动化工具和供应商数据库窃取支付信息和客户的个人数据。

能源和关键基础设施

电网、燃油管道、交通和水处理设施依赖于复杂的牵涉厂商和合同商的供应链。针对单个供应商的网络攻击可破坏整个行业，2025年3月发生的针对乌克兰国有铁路企业 Ukrzaliznytsia 的攻击同时破坏了乘客和货物交通服务。

银行和金融服务

自从“开放银行（Open Banking）”政策颁布以来，银行和金融机构就与无数第三方服务提供商协作，通过API访问客户银行数据。开放银行的目的是培养竞争和创新以及增强客户对金融数据的控制。它开始响应各种法规性计划如欧盟推出的PSD2 以及英国 CMA 推出的开放银行法规，旨在打破传统银行的垄断、鼓励金融技术行业的增长，并提升金融透明度和服务。该行业遭受的供应链攻击可暴露敏感的金融数据、破坏银行运营并导致大规模欺诈活动。

主动的安全策略

随着全球网络的扩张，企业除了保护自身环境安全外，必须为第三方厂商造成的风险担责。这一转变迫使组织机构从应对事件响应转变为主动的安全策略，预测、检测和缓解威胁，避免造成破坏。因此，网络安全不再只是关于响应攻击，而是预测和阻止它们以增强供应链弹性并确保业务的可持续性。如下是经过证明的有效的安全策略。

持续威胁暴露管理 (CTEM)

组织机构应当使用 CTEM 框架主动识别、验证、优先处理并缓解自身供应链中的安全差距。这些方法持续分析攻击向量，确保快速响应新型威胁。

持续渗透测试和外部攻击面管理 (EASM)

自动化渗透可持续测试厂商系统，助力企业在网络犯罪分子之前发现漏洞。攻击面管理工具可使企业映射并监控所有面向外部的资产，降低未知暴露的风险。

法规合规和标准

企业应当使其安全策略满足行业规定，如NIST 的网络安全框架、CISA 指南和 ISO 27001 标准。合规这些框架确保符合供应链内的安全实践基准。

AI 驱动的威胁检测

利用人工智能实时检测威胁和异常分析，有助于企业找到供应链中一般不会被发现的漏洞。受AI驱动的安全工具分析大量供应链数据来检测可疑活动并预测潜在攻击活动。

美国关税对供应链的影响

美国对进口技术、硬件、原材料和软件等征收关税，会产生除经济以外的影响，影响关键基础设施的安全性和弹性。随着成本的上升，企业可能寻求可替代供应商，从而可能暴露到更大的安全风险中。这些外包转移可能引入安全标准不一的新供应商，从而增加供应链攻击的可能性。

增加成本和厂商转移：对外国产品征收新关税可能迫使企业更换供应商。来自不同地区的厂商可能具有薄弱的安全协议，应进一步审查和进行安全评估。
回流和近岸趋势：为了减少对外国供应商的依赖，美国很多企业都在回流（将生产带回美国）或选择近岸（将运营搬到更靠近美国的地方）。虽然这种转移可能减少与外国供应链攻击相关的风险，但也可能引入与国内基础设施安全相关的新型网络威胁。
法规和合规压力：新的贸易政策可能要求企业在从某些区域进行采购时，满足更多的网络安全规定，从而可能导致安全合规和风险评估的成本上升。
网络间谍中的潜在风险：因关税政策引发的紧张的地理政治局势可能为美国企业招致更多的国家黑客网络攻击。企业必须警惕针对商业机密和供应链数据的间谍活动。

结论

安全的供应链不仅仅关乎保护资产安全，它还关乎维护信任、弹性和运营稳定性。随着网络威胁愈发复杂以及供应链依赖性增强，采取主动安全措施的组织机构将更好地缓解风险并保持长期增长。当前比任何时候都需要评估厂商关系、增强防御能力并将安全嵌入供应链生命周期中的每个阶段。未来属于那些能够预测威胁而非仅仅应对威胁的企业。