企業(yè)可以通過采用主動的網(wǎng)絡安全策略，將其納入供應商評估，并將其視為持續(xù)改進的過程，來更好地保護自己。

在《供應鏈中的網(wǎng)絡安全》系列文章中，Seongkyoon Jeong探討了與供應鏈管理者相關的網(wǎng)絡安全問題和策略。Jeong是田納西大學Haslam商學院的助理教授，專注于數(shù)字供應鏈的研究，擁有豐富的檢測軟件系統(tǒng)漏洞和評估網(wǎng)絡攻擊經(jīng)濟影響的經(jīng)驗。在他之前的文章中，Jeong探討了為什么網(wǎng)絡安全已成為供應鏈領域的主要風險，并介紹了行業(yè)領導者和政府為減輕風險所采取的措施。

本文的部分內(nèi)容于2024年9月發(fā)布在田納西大學全球供應鏈研究所的博客上，供應鏈專業(yè)人士可以在這里找到領先研究人員和學者關于全球供應鏈管理最新趨勢和話題的重要閱讀材料。

在上一篇文章中，我分析了供應鏈網(wǎng)絡安全日益重要的原因，指出了它為何成為行業(yè)中的關鍵問題，并概述了行業(yè)領導者和政府為降低風險所采取的措施。今天，我將更深入地介紹影響供應鏈的三種常見網(wǎng)絡攻擊類型。我將提供案例分析，探討這些攻擊發(fā)生的原因，分析其影響，并提出企業(yè)可以采取的一些預防措施。

類型1：虛假的供應鏈

網(wǎng)絡犯罪分子常用的一種長期戰(zhàn)術是社會工程攻擊。在這種網(wǎng)絡攻擊中，黑客冒充合法的利益相關者，如供應鏈合作伙伴、CEO，甚至政府官員，以操縱毫無戒心的受害者，促使他們做出危害安全的行為。這些攻擊通常試圖讓受害者泄露敏感信息或轉(zhuǎn)移資金。

在供應鏈背景下，由于大量依賴數(shù)字通信，尤其是電子郵件作為運營協(xié)調(diào)的標準，這種方法仍然非常有效。黑客通常采用兩種策略：“散彈槍式”和更為精準的“狙擊手式”策略。

在“散彈槍式”攻擊中，攻擊者通過發(fā)送泛泛的釣魚郵件，廣泛撒網(wǎng)，期望至少有部分潛在受害者會上鉤。例如，在新冠疫情期間，網(wǎng)絡犯罪分子冒充FedEx、DHL和UPS等知名物流公司，發(fā)送假冒的關于送貨問題的通知，誘騙毫無戒心的受害者。同樣，黑客也可能冒充熱門物品的供應商。疫情期間，隨著全球?qū)谡值男枨蠹ぴ?，黑客利用個人防護設備的突發(fā)需求滲透到包括醫(yī)療設施和零售商店在內(nèi)的各種供應鏈中。

而在“狙擊手式”攻擊中，黑客從社交媒體或商業(yè)網(wǎng)站等公開渠道收集目標的具體信息，通過制作高度定制化的釣魚信息來提高攻擊成功率。例如，一個廣為人知的案例中，欺詐者冒充一位合同供應商，從佛羅里達州Ocala市盜取了74.2萬美元。在另一例中，黑客入侵了中介機構(如電子郵件服務提供商)，劫持了合法方之間的通信。

雖然這些攻擊方法看似過時，但在當今數(shù)字化互聯(lián)的世界中仍然非常有效。為了防御此類攻擊，建議企業(yè)在做出關鍵決策(如付款)之前，采用多步驟驗證流程。此外，即便是與經(jīng)過認證的供應商合作，實施“零信任”政策也有助于確保在采取行動之前對所有通信進行驗證。

類型2：針對供應商管理資源的網(wǎng)絡攻擊

另一種常見的供應鏈網(wǎng)絡攻擊形式是針對第三方供應商管理的資源，而不是直接攻擊企業(yè)本身，這些資源可能包括敏感數(shù)據(jù)、IT基礎設施和數(shù)字接入點，這使得供應商成為網(wǎng)絡犯罪分子的理想目標，這類攻擊往往產(chǎn)生連鎖反應，導致供應商客戶的運營受損，并造成聲譽損害。

數(shù)據(jù)泄露是最常見的問題之一。供應商經(jīng)常代表其客戶處理敏感數(shù)據(jù)，如個人身份信息或?qū)Ｓ械纳虡I(yè)信息。一旦這些數(shù)據(jù)被泄露，供應商的客戶及其客戶的客戶都會遭受嚴重后果。一個典型的例子是萬豪國際(Marriott International)的數(shù)據(jù)泄露事件，通過供應商的漏洞，黑客曝光了社會安全號碼等敏感數(shù)據(jù)。

除了數(shù)據(jù)，供應商提供的IT基礎設施也是一個常見的攻擊目標，尤其是在企業(yè)越來越依賴云計算和其他數(shù)字系統(tǒng)的情況下，然而，許多企業(yè)并不完全理解如何保護這些基礎設施，從而使自己容易受到配置錯誤的影響。很多基于云的網(wǎng)絡攻擊正是由于用戶公司設置不當?shù)陌踩渲脤е聰?shù)據(jù)暴露在攻擊者面前。例如，一些企業(yè)僅因簡單的云配置疏忽而遭遇數(shù)據(jù)泄露。

此外，由于網(wǎng)絡攻擊導致供應商運營中斷，可能會使整個供應鏈陷入停頓。以域名系統(tǒng)(DNS)攻擊為例，黑客控制了供應商的DNS服務器，從而癱瘓了所有依賴該服務的在線運營。盡管企業(yè)通常試圖通過建立二級渠道來緩解這些風險，但很多公司未能充分整合這些備份系統(tǒng)。CrowdStrike案例顯示，許多企業(yè)的應急供應鏈計劃設計不完善，尤其是在IT系統(tǒng)方面。

為防范此類攻擊，企業(yè)必須超越基本的盡職調(diào)查，積極將網(wǎng)絡安全評估納入供應商選擇過程中。就像可持續(xù)性逐漸成為供應商評估的關鍵因素一樣，網(wǎng)絡安全也應該是首要考慮事項。企業(yè)應評估供應商應對網(wǎng)絡威脅的響應能力，確保供應商在解決漏洞方面保持積極主動，尤其是在攻擊者和防御者不斷演變的動態(tài)競爭關系中。

類型3：通過供應商訪問客戶系統(tǒng)的網(wǎng)絡攻擊

第三種也是最復雜的供應鏈網(wǎng)絡攻擊類型涉及黑客利用供應商對企業(yè)系統(tǒng)的訪問權限。在這種情況下，攻擊者入侵供應商系統(tǒng)，并利用其作為渠道，破壞公司的安全措施，這可能涉及被攻陷的軟件、硬件或二者兼有。由于繞過了傳統(tǒng)的安全協(xié)議，這類攻擊尤其具有破壞性，因為它通常發(fā)生在公司信任的基礎設施內(nèi)部。

一個著名的例子是Magecart攻擊，該攻擊針對在線零售商竊取客戶的信用卡信息。由于許多公司使用第三方應用程序來管理其電子商務系統(tǒng)，這使得它們?nèi)菀资艿竭@些外部應用程序中的安全漏洞的攻擊。一旦惡意代碼被注入，黑客就可以在不被察覺的情況下竊取敏感的客戶數(shù)據(jù)。

另一個臭名昭著的案例是SolarWinds事件。黑客攻破了受信任的IT管理公司SolarWinds，并利用其軟件更新作為攻擊載體，滲透了包括美國政府機構在內(nèi)的眾多高調(diào)企業(yè)。

基于硬件的攻擊同樣令人擔憂。2013年Target的數(shù)據(jù)泄露事件就是一個典型案例，黑客通過最初從被攻陷的供應商處投放的惡意軟件，入侵了Target的銷售終端(POS)系統(tǒng)。在這個案例中，漏洞來自Fazio Mechanical，這是一家位于賓夕法尼亞州的小型暖通空調(diào)(HVAC)公司，與Target有業(yè)務往來。黑客通過竊取Fazio技術人員的VPN憑證，獲得了Target的網(wǎng)絡訪問權限，展示了供應商漏洞可能帶來的廣泛影響。

關鍵教訓是，企業(yè)往往將其軟件和硬件系統(tǒng)視為“黑箱”——這些系統(tǒng)在沒有對內(nèi)部運行機制完全可見的情況下運作，這種缺乏透明度使得企業(yè)難以評估初始的和持續(xù)的安全風險。正如供應鏈專業(yè)人員在質(zhì)量管理中強調(diào)“持續(xù)改進”一樣，網(wǎng)絡安全必須被視為一個需要持續(xù)監(jiān)控、更新和漏洞評估的過程。