企業(yè)可以通過(guò)采用主動(dòng)的網(wǎng)絡(luò)安全策略，將其納入供應(yīng)商評(píng)估，并將其視為持續(xù)改進(jìn)的過(guò)程，來(lái)更好地保護(hù)自己。

在《供應(yīng)鏈中的網(wǎng)絡(luò)安全》系列文章中，Seongkyoon Jeong探討了與供應(yīng)鏈管理者相關(guān)的網(wǎng)絡(luò)安全問(wèn)題和策略。Jeong是田納西大學(xué)Haslam商學(xué)院的助理教授，專注于數(shù)字供應(yīng)鏈的研究，擁有豐富的檢測(cè)軟件系統(tǒng)漏洞和評(píng)估網(wǎng)絡(luò)攻擊經(jīng)濟(jì)影響的經(jīng)驗(yàn)。在他之前的文章中，Jeong探討了為什么網(wǎng)絡(luò)安全已成為供應(yīng)鏈領(lǐng)域的主要風(fēng)險(xiǎn)，并介紹了行業(yè)領(lǐng)導(dǎo)者和政府為減輕風(fēng)險(xiǎn)所采取的措施。

本文的部分內(nèi)容于2024年9月發(fā)布在田納西大學(xué)全球供應(yīng)鏈研究所的博客上，供應(yīng)鏈專業(yè)人士可以在這里找到領(lǐng)先研究人員和學(xué)者關(guān)于全球供應(yīng)鏈管理最新趨勢(shì)和話題的重要閱讀材料。

在上一篇文章中，我分析了供應(yīng)鏈網(wǎng)絡(luò)安全日益重要的原因，指出了它為何成為行業(yè)中的關(guān)鍵問(wèn)題，并概述了行業(yè)領(lǐng)導(dǎo)者和政府為降低風(fēng)險(xiǎn)所采取的措施。今天，我將更深入地介紹影響供應(yīng)鏈的三種常見(jiàn)網(wǎng)絡(luò)攻擊類型。我將提供案例分析，探討這些攻擊發(fā)生的原因，分析其影響，并提出企業(yè)可以采取的一些預(yù)防措施。

類型1：虛假的供應(yīng)鏈

網(wǎng)絡(luò)犯罪分子常用的一種長(zhǎng)期戰(zhàn)術(shù)是社會(huì)工程攻擊。在這種網(wǎng)絡(luò)攻擊中，黑客冒充合法的利益相關(guān)者，如供應(yīng)鏈合作伙伴、CEO，甚至政府官員，以操縱毫無(wú)戒心的受害者，促使他們做出危害安全的行為。這些攻擊通常試圖讓受害者泄露敏感信息或轉(zhuǎn)移資金。

在供應(yīng)鏈背景下，由于大量依賴數(shù)字通信，尤其是電子郵件作為運(yùn)營(yíng)協(xié)調(diào)的標(biāo)準(zhǔn)，這種方法仍然非常有效。黑客通常采用兩種策略：“散彈槍式”和更為精準(zhǔn)的“狙擊手式”策略。

在“散彈槍式”攻擊中，攻擊者通過(guò)發(fā)送泛泛的釣魚(yú)郵件，廣泛撒網(wǎng)，期望至少有部分潛在受害者會(huì)上鉤。例如，在新冠疫情期間，網(wǎng)絡(luò)犯罪分子冒充FedEx、DHL和UPS等知名物流公司，發(fā)送假冒的關(guān)于送貨問(wèn)題的通知，誘騙毫無(wú)戒心的受害者。同樣，黑客也可能冒充熱門物品的供應(yīng)商。疫情期間，隨著全球?qū)谡值男枨蠹ぴ?，黑客利用個(gè)人防護(hù)設(shè)備的突發(fā)需求滲透到包括醫(yī)療設(shè)施和零售商店在內(nèi)的各種供應(yīng)鏈中。

而在“狙擊手式”攻擊中，黑客從社交媒體或商業(yè)網(wǎng)站等公開(kāi)渠道收集目標(biāo)的具體信息，通過(guò)制作高度定制化的釣魚(yú)信息來(lái)提高攻擊成功率。例如，一個(gè)廣為人知的案例中，欺詐者冒充一位合同供應(yīng)商，從佛羅里達(dá)州Ocala市盜取了74.2萬(wàn)美元。在另一例中，黑客入侵了中介機(jī)構(gòu)(如電子郵件服務(wù)提供商)，劫持了合法方之間的通信。

雖然這些攻擊方法看似過(guò)時(shí)，但在當(dāng)今數(shù)字化互聯(lián)的世界中仍然非常有效。為了防御此類攻擊，建議企業(yè)在做出關(guān)鍵決策(如付款)之前，采用多步驟驗(yàn)證流程。此外，即便是與經(jīng)過(guò)認(rèn)證的供應(yīng)商合作，實(shí)施“零信任”政策也有助于確保在采取行動(dòng)之前對(duì)所有通信進(jìn)行驗(yàn)證。

類型2：針對(duì)供應(yīng)商管理資源的網(wǎng)絡(luò)攻擊

另一種常見(jiàn)的供應(yīng)鏈網(wǎng)絡(luò)攻擊形式是針對(duì)第三方供應(yīng)商管理的資源，而不是直接攻擊企業(yè)本身，這些資源可能包括敏感數(shù)據(jù)、IT基礎(chǔ)設(shè)施和數(shù)字接入點(diǎn)，這使得供應(yīng)商成為網(wǎng)絡(luò)犯罪分子的理想目標(biāo)，這類攻擊往往產(chǎn)生連鎖反應(yīng)，導(dǎo)致供應(yīng)商客戶的運(yùn)營(yíng)受損，并造成聲譽(yù)損害。

數(shù)據(jù)泄露是最常見(jiàn)的問(wèn)題之一。供應(yīng)商經(jīng)常代表其客戶處理敏感數(shù)據(jù)，如個(gè)人身份信息或?qū)Ｓ械纳虡I(yè)信息。一旦這些數(shù)據(jù)被泄露，供應(yīng)商的客戶及其客戶的客戶都會(huì)遭受嚴(yán)重后果。一個(gè)典型的例子是萬(wàn)豪國(guó)際(Marriott International)的數(shù)據(jù)泄露事件，通過(guò)供應(yīng)商的漏洞，黑客曝光了社會(huì)安全號(hào)碼等敏感數(shù)據(jù)。

除了數(shù)據(jù)，供應(yīng)商提供的IT基礎(chǔ)設(shè)施也是一個(gè)常見(jiàn)的攻擊目標(biāo)，尤其是在企業(yè)越來(lái)越依賴云計(jì)算和其他數(shù)字系統(tǒng)的情況下，然而，許多企業(yè)并不完全理解如何保護(hù)這些基礎(chǔ)設(shè)施，從而使自己容易受到配置錯(cuò)誤的影響。很多基于云的網(wǎng)絡(luò)攻擊正是由于用戶公司設(shè)置不當(dāng)?shù)陌踩渲脤?dǎo)致數(shù)據(jù)暴露在攻擊者面前。例如，一些企業(yè)僅因簡(jiǎn)單的云配置疏忽而遭遇數(shù)據(jù)泄露。

此外，由于網(wǎng)絡(luò)攻擊導(dǎo)致供應(yīng)商運(yùn)營(yíng)中斷，可能會(huì)使整個(gè)供應(yīng)鏈陷入停頓。以域名系統(tǒng)(DNS)攻擊為例，黑客控制了供應(yīng)商的DNS服務(wù)器，從而癱瘓了所有依賴該服務(wù)的在線運(yùn)營(yíng)。盡管企業(yè)通常試圖通過(guò)建立二級(jí)渠道來(lái)緩解這些風(fēng)險(xiǎn)，但很多公司未能充分整合這些備份系統(tǒng)。CrowdStrike案例顯示，許多企業(yè)的應(yīng)急供應(yīng)鏈計(jì)劃設(shè)計(jì)不完善，尤其是在IT系統(tǒng)方面。

為防范此類攻擊，企業(yè)必須超越基本的盡職調(diào)查，積極將網(wǎng)絡(luò)安全評(píng)估納入供應(yīng)商選擇過(guò)程中。就像可持續(xù)性逐漸成為供應(yīng)商評(píng)估的關(guān)鍵因素一樣，網(wǎng)絡(luò)安全也應(yīng)該是首要考慮事項(xiàng)。企業(yè)應(yīng)評(píng)估供應(yīng)商應(yīng)對(duì)網(wǎng)絡(luò)威脅的響應(yīng)能力，確保供應(yīng)商在解決漏洞方面保持積極主動(dòng)，尤其是在攻擊者和防御者不斷演變的動(dòng)態(tài)競(jìng)爭(zhēng)關(guān)系中。

類型3：通過(guò)供應(yīng)商訪問(wèn)客戶系統(tǒng)的網(wǎng)絡(luò)攻擊

第三種也是最復(fù)雜的供應(yīng)鏈網(wǎng)絡(luò)攻擊類型涉及黑客利用供應(yīng)商對(duì)企業(yè)系統(tǒng)的訪問(wèn)權(quán)限。在這種情況下，攻擊者入侵供應(yīng)商系統(tǒng)，并利用其作為渠道，破壞公司的安全措施，這可能涉及被攻陷的軟件、硬件或二者兼有。由于繞過(guò)了傳統(tǒng)的安全協(xié)議，這類攻擊尤其具有破壞性，因?yàn)樗ǔ０l(fā)生在公司信任的基礎(chǔ)設(shè)施內(nèi)部。

一個(gè)著名的例子是Magecart攻擊，該攻擊針對(duì)在線零售商竊取客戶的信用卡信息。由于許多公司使用第三方應(yīng)用程序來(lái)管理其電子商務(wù)系統(tǒng)，這使得它們?nèi)菀资艿竭@些外部應(yīng)用程序中的安全漏洞的攻擊。一旦惡意代碼被注入，黑客就可以在不被察覺(jué)的情況下竊取敏感的客戶數(shù)據(jù)。

另一個(gè)臭名昭著的案例是SolarWinds事件。黑客攻破了受信任的IT管理公司SolarWinds，并利用其軟件更新作為攻擊載體，滲透了包括美國(guó)政府機(jī)構(gòu)在內(nèi)的眾多高調(diào)企業(yè)。

基于硬件的攻擊同樣令人擔(dān)憂。2013年Target的數(shù)據(jù)泄露事件就是一個(gè)典型案例，黑客通過(guò)最初從被攻陷的供應(yīng)商處投放的惡意軟件，入侵了Target的銷售終端(POS)系統(tǒng)。在這個(gè)案例中，漏洞來(lái)自Fazio Mechanical，這是一家位于賓夕法尼亞州的小型暖通空調(diào)(HVAC)公司，與Target有業(yè)務(wù)往來(lái)。黑客通過(guò)竊取Fazio技術(shù)人員的VPN憑證，獲得了Target的網(wǎng)絡(luò)訪問(wèn)權(quán)限，展示了供應(yīng)商漏洞可能帶來(lái)的廣泛影響。

關(guān)鍵教訓(xùn)是，企業(yè)往往將其軟件和硬件系統(tǒng)視為“黑箱”——這些系統(tǒng)在沒(méi)有對(duì)內(nèi)部運(yùn)行機(jī)制完全可見(jiàn)的情況下運(yùn)作，這種缺乏透明度使得企業(yè)難以評(píng)估初始的和持續(xù)的安全風(fēng)險(xiǎn)。正如供應(yīng)鏈專業(yè)人員在質(zhì)量管理中強(qiáng)調(diào)“持續(xù)改進(jìn)”一樣，網(wǎng)絡(luò)安全必須被視為一個(gè)需要持續(xù)監(jiān)控、更新和漏洞評(píng)估的過(guò)程。