2023年以来，全球网络空间安全形势变得更加严峻，APT攻击活动进入新一轮活跃期，关键基础设施遭受勒索软件攻击的事件越来越多，所暴露的供应链安全问题，涉及基础网络、物联网、工业控制系统等多个领域，严重影响经济发展和国家安全。

供应链攻击技术是APT攻击组织目前常用的攻击技术和方式之一，由于大多供应链企业缺乏APT攻击防护，逐渐成为攻击首要目标。在当今的互联世界里，供应链在提供产品和服务方面起着至关重要的作用，一旦出现中断，可能会引发一系列问题。但是，随着供应链的日益复杂化，其中的漏洞也会增多。

在供应链中，环节越多，漏洞出现的可能性越大，复杂供应链带来的更多网络风险入口点以及网络风险管理的不足，大大增加了遭受网络攻击的风险，如果相关的供应商或合作伙伴发生数据泄露，将无法独善其身。

Gartner预测，到 2025 年，全球将有 45% 的企业遭受软件供应链攻击，这一数字相比 2021 年将增长三倍。

针对供应链中存在的网络安全威胁及其相应的抵御策略，Akamai 亚太地区及日本安全技术和战略总监 Reuben Koh作出了以下分析。

Akamai 亚太地区及日本安全技术和战略总监 Reuben Koh

1.软件供应链攻击

供应链中常见的网络威胁之一是软件攻击。攻击者会试图入侵产品的源代码、软件或固件。例如，攻击者在供应商或提供商级别将恶意代码注入软件，而客户在下载并使用该软件时也毫不知情。这种攻击方式能够绕过很多安全措施，因为客户通常对直接从供应商和提供商处获得的软件深信不疑。

SolarWinds供应链攻击事件充分说明了软件供应链攻击的严重性。黑客将恶意代码植入了 SolarWinds 的 Orion 软件，这款软件在全球范围内被众多企业和政府机构用于管理 IT 资源。这些用户在安装软件更新包后，便会在不经意间感染隐匿其中的恶意软件。这不仅给 Orion 用户带来了巨大风险，还使黑客有机会访问客户和合作伙伴的网络及数据。

企业必须采取主动的措施来应对软件供应链攻击。这包括进行严格的供应商风险管理，评估供应商的安全态势，并针对各类供应商制定独特的安全要求。此外，实施 Zero Trust 安全模式也有助于企业验证每个传入连接和请求访问的设备是否可信。

2.针对供应商的网络钓鱼攻击

针对供应商的网络钓鱼攻击是网络犯罪分子间接入侵企业网络和系统的另一种常见手段。当供应商，特别是 IT 外包或呼叫中心的供应商，成为网络钓鱼攻击的受害者时，网络犯罪分子会假扮成客户，骗取敏感信息或要求供应商重置密码。

由于供应商可能没有像大型企业那样的安全意识和反网络钓鱼解决方案，这些攻击便更容易得手。因此，这些供应商便成了网络犯罪分子入侵大型企业网络的理想突破点。

为了降低通过供应商实施的网络钓鱼攻击的风险，企业应当注重对供应商进行全面的安全意识培训，并执行严格的安全要求。通过扩大安全实践的范围以将供应商纳入其中并密切监控他们的活动，企业能够尽早发现可疑行为并进行有效应对。

3.硬件供应链攻击

硬件供应链攻击是指攻击者对路由器、IoT 设备和智能家电（甚至包括智能电视和洗衣机）等硬件设备的固件进行篡改，以植入后门或漏洞。这些被入侵的设备随后会被出售给最终企业，而这些企业在毫不知情的情况下将这些设备投入使用，从而为攻击者提供了一个潜在的入侵点。

检测硬件供应链攻击是一项极具挑战性的任务，因为这类攻击往往被制造商和供应商所忽视。企业必须依赖严格的质量控制和验证流程，以确保发现被入侵的硬件。

尽管硬件供应链攻击发生的频率较低，但其检测难度大，且可能带来严重的后果。为了确保硬件产品的完整性，制造商和供应商必须执行彻底的测试和验证流程，包括对所有发货产品进行二次甚至三次的检查。

未来趋势和挑战

由于供应链攻击的有效性和企业间日益加强的相互依赖性，预计 2024 年供应链攻击数量将出现增长。随着企业不断扩展合作伙伴关系和生态系统，它们将更容易受到供应链攻击的威胁。攻击者通常会选择供应链中的薄弱环节作为目标，如安全措施和安全意识相对较差的小型供应商。

企业必须增强其安全态势，以应对两个关键领域的挑战：

1.API 安全性

随着供应链中 API 数量的激增，企业必须采用专业的 API 安全防护工具来保护系统免遭与 API 相关的漏洞威胁。API 是有效的数据传输通道。随着 API 数量的快速增长，传统的安全措施已无法满足需求。因此，在 API 的开发和发布阶段，都必须采取有效的保护措施。

2.安全领域的人工智能 (AI)

评估 AI 赋能的安全解决方案正日益成为一种趋势。我们如何使 AI 不单单用于提高运营效率，而是能够提升我们的安全性呢？AI 可以增强威胁检测和响应能力，并且将在未来一年内在这个领域实现显著的发展。

供应链中的网络威胁问题为企业带来了重大挑战。企业必须采取积极主动且强有力的安全措施，以保护他们在关键技术领域的工作和投资。此外，企业还需与值得信赖的供应商建立合作关系，持续监控供应链中的风险和漏洞，进行深入的风险评估，并确保定期进行软件更新和修补工作。

尽管供应链网络安全问题错综复杂，但通过与更广泛的供应链生态系统进行合作，并实施这些措施，便可有效抵御和打击这些威胁和漏洞。