如今，大數據、云計算、人工智能等新興科技產業(yè)的快速發(fā)展和廣泛應用，對傳統(tǒng)業(yè)態(tài)產生了強烈的沖擊，全球產業(yè)供應鏈系統(tǒng)面臨著前所未有的變革，供應鏈安全成為網絡安全體系面臨的重要挑戰(zhàn)。

雖然供應鏈攻擊由來已久，但近年來，其規(guī)模、復雜性及頻率都在急劇增加。歐盟網絡安全局 (ENISA) 于2021年7月發(fā)布的《供應鏈攻擊威脅局勢報告》中也強調了這一點。

此外，在近期中國產業(yè)互聯(lián)網發(fā)展聯(lián)盟指導下發(fā)布的《2022產業(yè)互聯(lián)網安全十大趨勢》中也強調，供應鏈安全風險從隱性變?yōu)轱@性。據Check Point 的《2022 年安全報告》顯示，2021 年全球供應鏈攻擊同比增長了 650%。

什么是供應鏈攻擊?

供應鏈是設計、制造和分銷產品所需的資源生態(tài)系統(tǒng)的組合。在網絡安全方面，供應鏈包括硬件和軟件、云或本地存儲和分發(fā)機制。

供應鏈攻擊是一種面向軟件開發(fā)人員和供應商的新興威脅，目標是通過感染合法應用分發(fā)惡意軟件來訪問源代碼、構建過程或更新機制。

供應鏈攻擊由對一個或多個供應商的攻擊和隨后對最終目標(即客戶)的攻擊組成，這種攻擊可能在很長一段時間內不被察覺，需要數月才能成功。與高級持久性威脅(APT)攻擊類似，供應鏈攻擊通常是有目標的。另外，供應鏈攻擊也會和APT攻擊、勒索攻擊結合在一起，攻擊者最終的目的是加密企業(yè)設備、系統(tǒng)或數據，以此勒索企業(yè)牟取暴利。

Imperva曾分享的五種典型的攻擊方法：

• 利用供應商的產品進行注入（典型的如SolarWinds事件）
• 利用第三方應用程序（如郵件/瀏覽器漏洞）
• 利用開放源代碼庫中包含的漏洞
• 依賴關系混淆
• 惡意接管（擔任社區(qū)項目維護者，注入惡意代碼）

在以上五種供應鏈攻擊方法中，有的攻擊企業(yè)可以提前預防，但是有的攻擊企業(yè)則束手無策。依賴關系混淆可以通過正確配置制品庫進行阻止。利用第三方應用程序和利用開放源代碼庫中包含的漏洞，可以通過及時升級或者利用安全公司提供的補丁進行緩解，但是針對供應商產品注入和惡意接管方面目前并沒有比較有效的通用方案。

重大供應鏈攻擊事件頻發(fā)

· 2020年12月，F(xiàn)ireEye發(fā)布的關于SolarWinds供應鏈攻擊的通告中表示，SolarWinds產品于2020年3月左右被攻擊者植入后門，受到了嚴重的供應鏈攻擊。本次供應鏈攻擊事件波及范圍極大，包括政府部門、關鍵基礎設施以及多家全球500強企業(yè)，造成了重大影響。

· 2021年3月，占據全球90%航空份額的通信和IT廠商，國際航空電信公司SITA受到供應鏈攻擊，攻擊者竊取了該公司存儲在美國服務器上的乘客數據，全球眾多航空公司業(yè)務受到影響，甚至出現(xiàn)了大范圍的數據泄露，直接造成了航空業(yè)“大地震”。

· 2021年7月，勒索組織REvil利用IT軟件供應商Kaseya發(fā)起供應鏈攻擊，有數千家公司中招。REvil攻擊了Kaseya基于云的MSP平臺(管理服務提供商)，破壞其VSA基礎設施，然后向VSA內部服務器推送惡意更新，在企業(yè)網絡上部署勒索軟件，導致Kaseya的客戶遭供應鏈攻擊。REvil宣稱鎖定了超過一百萬個系統(tǒng)，并愿意就通用解密器進行談判，起價為7000萬美元，這是迄今為止開價最高的贖金。

· 2021年12月，Log4j2漏洞的爆發(fā)也引發(fā)了一場供應鏈安全危機，其影響范圍極為廣泛，同時也伴隨著巨大的危害性。Log4j2作為一個堪比標準庫的基礎日志庫，無數開源 Java 組件都直接或間接依賴于Log4j2。作為軟件供應鏈中的核心原始組件，Log4j2的自身漏洞帶給整個軟件供應鏈的影響最為直接、隱秘，影響也最為深遠。

供應鏈安全上升至國家戰(zhàn)略層面

隨著供應鏈安全形勢的愈加嚴峻，越來越多的國家開始關注國家產業(yè)供應鏈戰(zhàn)略，不斷努力推動維護本國產業(yè)供應鏈安全的建設。很多國家都根據自己的國情制定了各自的全球產業(yè)供應鏈戰(zhàn)略發(fā)展措施。

早在2012年歐洲網絡和信息安全局（ENISA）就發(fā)布了《供應鏈完整性報告》(2015年更新)，報告確定了供應鏈安全威脅的性質，并審查了可能的應對策略。

近日，美國國家標準與技術研究所（NIST）發(fā)布了關于確保軟件供應鏈安全的最新指導，以響應政府旨在加強國家網絡安全的行政令。據悉美國還建立跨部門產業(yè)供應鏈安全組織保障體系，多維度建立國家產業(yè)供應鏈安全戰(zhàn)略體系，強化產業(yè)供應鏈安全立法體系建設，注重國家產業(yè)供應鏈安全政策研究，并強化產業(yè)供應鏈風險評估和安全審查。

隨著越來越多的國家廣泛應用現(xiàn)代信息技術，德國政府從政策層面上積極推動本國產業(yè)供應鏈向智能化、信息化方向發(fā)展，在信息通信技術基礎之上的 CPS 系統(tǒng)構建智能工廠，構建智能制造供應鏈網絡，不斷提高制造業(yè)競爭力。

我國宏觀層面對推動產業(yè)供應鏈發(fā)展給予了高度重視，微觀層面為推動產業(yè)供應鏈發(fā)展不斷賦能，企業(yè)不斷拓展產業(yè)供應鏈發(fā)展的全球布局。

多年來，我國相繼出臺了供應鏈安全管理國家標準《信息安全技術 ICT 供應鏈安全風險管理指南》(GB/T 36637-2018)、發(fā)布了《信息技術產品供應鏈安全要求》征求意見稿、擬研究制定《信息安全技術軟件供應鏈安全要求》，

以實現(xiàn)供應鏈的完整性、保密性、可用性和可控性安全目標，規(guī)定信息技術產品供應方和需求方應滿足的供應鏈基本安全要求，并提升國內軟件供應鏈各個環(huán)節(jié)的規(guī)范性和安全保障能力。

另外，對于我國供應鏈安全管理體系的完善，相關專家認為可以從戰(zhàn)略規(guī)劃、制度建設、保障機制、配套政策、標準體系五方面發(fā)力：

• 盡快提高供應鏈安全在制造業(yè)長期發(fā)展規(guī)劃中的戰(zhàn)略地位，形成國家層面的戰(zhàn)略共識。
• 完善供應鏈安全的制度建設。
• 完善供應鏈風險防范保障機制。
• 制定供應鏈安全戰(zhàn)略部署的政策體系。
• 加快供應鏈安全管理相關國家標準的研究制定，并促進國家標準與國際標準對接。

近年來由于疫情的持續(xù)蔓延，對全球供應鏈安全也產生了重大影響，保障供應鏈安全將成為一場持久戰(zhàn)，各國應攜手共同維護全球供應鏈安全，并發(fā)揮各自優(yōu)勢推動全球供應鏈安全治理。