供应链攻击难以防范 供应商成“安全漏洞”

江湖有云，不怕神一样的对手，就怕猪一样的队友。这句话放在网络安全领域，就会变成：不怕神一样的黑客，就怕靠不住的供应商。

这可不是在夸大其词，2025年，供应链攻击越发猖獗，给企业造成了巨大损失。Verizon发布的《2025数据泄露调查报告（DBIR）》显示，过去一年中30%的数据泄露事件与第三方直接相关，软件漏洞、云服务配置错误、合作伙伴权限滥用成为主要导火索。

既要防住从“正面阵地”进攻的黑客，还要防住从“友军阵地”（供应商）偷袭而来的攻击者，这一届企业的压力确实有点大……

供应链攻击为何难以防范？

想要防住供应链攻击，先要弄清供应链攻击为何难以防范。其原因有四：

1.供应链生态系统复杂，扩大企业网络暴露面

现代企业的供应链往往是一个错综复杂的生态系统，涉及到大量供应商、合作伙伴、第三方服务商和外包商等。这些外部实体可能拥有访问企业关键系统、数据或基础设施的权限，导致企业的网络暴露面间接增大。由于企业无法完全控制外部供应商的安全防护措施，攻击者可以从供应链中的任意环节渗透进来，攻击入口更多，隐蔽性更强，让企业难以防范。

2.对供应商的“过度信任”，成为安全边界新漏洞

许多企业在与供应商合作时，默认这些外部实体是可信的。由于业务需求，企业往往需要授予它们较高的访问权限。一旦攻击者窃取了这些账户凭证，便能轻松绕过企业的安全防线，直接访问企业内网，利用高权限大肆进行窃取数据、安装恶意软件等非法操作。

3.难以监控第三方访问，识别并阻断风险行为

VPN是供应商远程访问企业内网的主要方式。由于VPN普遍存在“过度信任、静态授权”的问题，企业无法对来自第三方的访问进行动态监控，导致来自供应链的非法访问难以及时发现和阻断，攻击者可以在企业内网横向移动，给企业造成巨大损失。

4.安全水平参差不齐，第三方员工难以管控

不同供应商的安全水平参差不齐，尤其是中小型供应商往往没有能力构建完善的网络安全和数据安全防护体系，为员工提供安全防护，管控员工的行为。攻击者可以将安全水平弱的供应商作为突破口，通过入侵第三方员工终端设备、收买第三方员工窃取机密等方式，完成对目标企业的攻击。

零信任业务安全解决方案

面对难缠的供应链攻击，企业需要改变原有网络安全架构，以“身份”为核心构建动态化、随身化、微粒化的安全边界，在每一家供应商的“阵地”前加筑一道安全防线。同时，落实“最小化授权”原则，对每一次访问实施细粒度的动态访问控制，对供应商员工的每一次操作进行精准管控，应对攻击者的“偷袭”。

芯盾时代作基于用户身份与访问管理平台（IAM）、零信任业务安全平台（SDP）等产品，芯盾时代打造了零信任业务安全解决方案，能够帮助企业构建零信任安全架构，强化对供应商的管控，有效防范供应链攻击。

借助芯盾时代零信任业务安全解决方案，企业能够在业务应用低改造、甚至0改造的情况下，一站式实现以下功能：

1.落实最小化授权，实施多因素认证

芯盾时代IAM具备全面的身份管理能力，能够为供应商、合作伙伴、第三方服务商和外包商建立对应的身份，实现对不同身份的差异化管控。IAM支持RBAC、ABAC、ACL等多种权限管理模型，权限管理能力细至URL，帮助企业落实“最小化授权”，精准管控数据资源的访问权限，杜绝越权访问。

借助芯盾时代IAM，企业能够一站式实施多因素认证，为供应商员工提供短信验证码、动态口令、App扫码、指纹识别等认证方式，提升身份认证的安全性和便捷性，为企业把好网络“入口关”，避免身份凭证泄露，有效防范网络钓鱼。

2.收敛资源暴露面，实施动态访问控制

芯盾时代SDP采用流量代理和SPA单包授权技术，由网关统一代理业务应用访问流量，同时对所有连接网关的设备进行预认证，不通过认证不开放端口，实现业务应用和网关双重“隐身”。借助芯盾时代SDP，企业能够有效收敛资源暴露面，同时防范来自供应链的非法访问，不与攻击者建立连接，避免系统中的漏洞被攻击者利用。

借助芯盾时代SDP的动态访问控制能力，企业能够结合登录时间、设备状态等上下文信息，灵活设置访问控制策略，当攻击者进行下载机密文件、在非工作时间访问敏感数据、执行可疑命令时，自适应执行阻断、权限收敛等控制策略，及时阻断非法访问，避免攻击者在内网横移。

3.强化终端安全，管控员工操作行为

凭借终端威胁态势感知技术，SDP客户端能够识别终端设备是否安装了杀毒软件，是否存在远程控制软件、模拟器、程序双开、攻击框架、Root/越狱等风险，是否加入指定域控，是否安装了操作系统补丁。在访问过程中，客户端持续检测终端安全态势、用户的操作行为，为安全控制中心提供终端侧的风险信息。

SDP客户端内置安全沙箱，企业可以在终端设备中构建与本地空间完全隔离的安全工作空间，实现“数据不落地”，并实施禁止复制、禁止截屏、禁止打印、外发审批等行为管控，阻断数据外发。在软件供应商、外包人员远程访问内网的场景下，SDP能够对终端数据进行保护，有效防止数据泄露。

借助动态数据脱敏功能，企业可以对业务应用中的手机号、银行卡、身份证号等敏感数据进行动态脱敏。针对Web应用，芯盾时代SDP可以在无改造的情况下为Web页面添加水印，对用户进行安全教育、安全震慑和安全追溯，降低拍照截屏外发风险。

随着数字化转型持续深入，供应链安全已经成为企业安全的重要组成部分，而零信任安全理念为应对这一挑战提供了有效解决方案。芯盾时代零信任业务安全解决方案，能够帮助企业显著提升供应链的整体安全防护能力，为供应链的健康和稳定奠定坚实基础。