江湖有云，不怕神一樣的對手，就怕豬一樣的隊(duì)友。這句話放在網(wǎng)絡(luò)安全領(lǐng)域，就會變成：不怕神一樣的黑客，就怕靠不住的供應(yīng)商。

這可不是在夸大其詞，2025年，供應(yīng)鏈攻擊越發(fā)猖獗，給企業(yè)造成了巨大損失。Verizon發(fā)布的《2025數(shù)據(jù)泄露調(diào)查報(bào)告（DBIR）》顯示，過去一年中30%的數(shù)據(jù)泄露事件與第三方直接相關(guān)，軟件漏洞、云服務(wù)配置錯(cuò)誤、合作伙伴權(quán)限濫用成為主要導(dǎo)火索。

既要防住從“正面陣地”進(jìn)攻的黑客，還要防住從“友軍陣地”（供應(yīng)商）偷襲而來的攻擊者，這一屆企業(yè)的壓力確實(shí)有點(diǎn)大……

供應(yīng)鏈攻擊為何難以防范？

想要防住供應(yīng)鏈攻擊，先要弄清供應(yīng)鏈攻擊為何難以防范。其原因有四：

1.供應(yīng)鏈生態(tài)系統(tǒng)復(fù)雜，擴(kuò)大企業(yè)網(wǎng)絡(luò)暴露面

現(xiàn)代企業(yè)的供應(yīng)鏈往往是一個(gè)錯(cuò)綜復(fù)雜的生態(tài)系統(tǒng)，涉及到大量供應(yīng)商、合作伙伴、第三方服務(wù)商和外包商等。這些外部實(shí)體可能擁有訪問企業(yè)關(guān)鍵系統(tǒng)、數(shù)據(jù)或基礎(chǔ)設(shè)施的權(quán)限，導(dǎo)致企業(yè)的網(wǎng)絡(luò)暴露面間接增大。由于企業(yè)無法完全控制外部供應(yīng)商的安全防護(hù)措施，攻擊者可以從供應(yīng)鏈中的任意環(huán)節(jié)滲透進(jìn)來，攻擊入口更多，隱蔽性更強(qiáng)，讓企業(yè)難以防范。

2.對供應(yīng)商的“過度信任”，成為安全邊界新漏洞

許多企業(yè)在與供應(yīng)商合作時(shí)，默認(rèn)這些外部實(shí)體是可信的。由于業(yè)務(wù)需求，企業(yè)往往需要授予它們較高的訪問權(quán)限。一旦攻擊者竊取了這些賬戶憑證，便能輕松繞過企業(yè)的安全防線，直接訪問企業(yè)內(nèi)網(wǎng)，利用高權(quán)限大肆進(jìn)行竊取數(shù)據(jù)、安裝惡意軟件等非法操作。

3.難以監(jiān)控第三方訪問，識別并阻斷風(fēng)險(xiǎn)行為

VPN是供應(yīng)商遠(yuǎn)程訪問企業(yè)內(nèi)網(wǎng)的主要方式。由于VPN普遍存在“過度信任、靜態(tài)授權(quán)”的問題，企業(yè)無法對來自第三方的訪問進(jìn)行動態(tài)監(jiān)控，導(dǎo)致來自供應(yīng)鏈的非法訪問難以及時(shí)發(fā)現(xiàn)和阻斷，攻擊者可以在企業(yè)內(nèi)網(wǎng)橫向移動，給企業(yè)造成巨大損失。

4.安全水平參差不齊，第三方員工難以管控

不同供應(yīng)商的安全水平參差不齊，尤其是中小型供應(yīng)商往往沒有能力構(gòu)建完善的網(wǎng)絡(luò)安全和數(shù)據(jù)安全防護(hù)體系，為員工提供安全防護(hù)，管控員工的行為。攻擊者可以將安全水平弱的供應(yīng)商作為突破口，通過入侵第三方員工終端設(shè)備、收買第三方員工竊取機(jī)密等方式，完成對目標(biāo)企業(yè)的攻擊。

芯盾時(shí)代零信任業(yè)務(wù)安全解決方案

面對難纏的供應(yīng)鏈攻擊，企業(yè)需要改變原有網(wǎng)絡(luò)安全架構(gòu)，以“身份”為核心構(gòu)建動態(tài)化、隨身化、微粒化的安全邊界，在每一家供應(yīng)商的“陣地”前加筑一道安全防線。同時(shí)，落實(shí)“最小化授權(quán)”原則，對每一次訪問實(shí)施細(xì)粒度的動態(tài)訪問控制，對供應(yīng)商員工的每一次操作進(jìn)行精準(zhǔn)管控，應(yīng)對攻擊者的“偷襲”。

芯盾時(shí)代作為領(lǐng)先的零信任業(yè)務(wù)安全產(chǎn)品方案提供商，率先探索出成熟的零信任架構(gòu)建設(shè)落地路徑，打造了豐富的零信任安全產(chǎn)品線?；谟脩羯矸菖c訪問管理平臺（IAM）、零信任業(yè)務(wù)安全平臺（SDP）等產(chǎn)品，芯盾時(shí)代打造了零信任業(yè)務(wù)安全解決方案，能夠幫助企業(yè)構(gòu)建零信任安全架構(gòu)，強(qiáng)化對供應(yīng)商的管控，有效防范供應(yīng)鏈攻擊。

借助芯盾時(shí)代零信任業(yè)務(wù)安全解決方案，企業(yè)能夠在業(yè)務(wù)應(yīng)用低改造、甚至0改造的情況下，一站式實(shí)現(xiàn)以下功能：

1.落實(shí)最小化授權(quán)，實(shí)施多因素認(rèn)證

芯盾時(shí)代IAM具備全面的身份管理能力，能夠?yàn)楣?yīng)商、合作伙伴、第三方服務(wù)商和外包商建立對應(yīng)的身份，實(shí)現(xiàn)對不同身份的差異化管控。IAM支持RBAC、ABAC、ACL等多種權(quán)限管理模型，權(quán)限管理能力細(xì)至URL，幫助企業(yè)落實(shí)“最小化授權(quán)”，精準(zhǔn)管控?cái)?shù)據(jù)資源的訪問權(quán)限，杜絕越權(quán)訪問。

借助芯盾時(shí)代IAM，企業(yè)能夠一站式實(shí)施多因素認(rèn)證，為供應(yīng)商員工提供短信驗(yàn)證碼、動態(tài)口令、App掃碼、指紋識別等認(rèn)證方式，提升身份認(rèn)證的安全性和便捷性，為企業(yè)把好網(wǎng)絡(luò)“入口關(guān)”，避免身份憑證泄露，有效防范網(wǎng)絡(luò)釣魚。

2.收斂資源暴露面，實(shí)施動態(tài)訪問控制

芯盾時(shí)代SDP采用流量代理和SPA單包授權(quán)技術(shù)，由網(wǎng)關(guān)統(tǒng)一代理業(yè)務(wù)應(yīng)用訪問流量，同時(shí)對所有連接網(wǎng)關(guān)的設(shè)備進(jìn)行預(yù)認(rèn)證，不通過認(rèn)證不開放端口，實(shí)現(xiàn)業(yè)務(wù)應(yīng)用和網(wǎng)關(guān)雙重“隱身”。借助芯盾時(shí)代SDP，企業(yè)能夠有效收斂資源暴露面，同時(shí)防范來自供應(yīng)鏈的非法訪問，不與攻擊者建立連接，避免系統(tǒng)中的漏洞被攻擊者利用。

借助芯盾時(shí)代SDP的動態(tài)訪問控制能力，企業(yè)能夠結(jié)合登錄時(shí)間、設(shè)備狀態(tài)等上下文信息，靈活設(shè)置訪問控制策略，當(dāng)攻擊者進(jìn)行下載機(jī)密文件、在非工作時(shí)間訪問敏感數(shù)據(jù)、執(zhí)行可疑命令時(shí)，自適應(yīng)執(zhí)行阻斷、權(quán)限收斂等控制策略，及時(shí)阻斷非法訪問，避免攻擊者在內(nèi)網(wǎng)橫移。

3.強(qiáng)化終端安全，管控員工操作行為

憑借終端威脅態(tài)勢感知技術(shù)，SDP客戶端能夠識別終端設(shè)備是否安裝了殺毒軟件，是否存在遠(yuǎn)程控制軟件、模擬器、程序雙開、攻擊框架、Root/越獄等風(fēng)險(xiǎn)，是否加入指定域控，是否安裝了操作系統(tǒng)補(bǔ)丁。在訪問過程中，客戶端持續(xù)檢測終端安全態(tài)勢、用戶的操作行為，為安全控制中心提供終端側(cè)的風(fēng)險(xiǎn)信息。

SDP客戶端內(nèi)置安全沙箱，企業(yè)可以在終端設(shè)備中構(gòu)建與本地空間完全隔離的安全工作空間，實(shí)現(xiàn)“數(shù)據(jù)不落地”，并實(shí)施禁止復(fù)制、禁止截屏、禁止打印、外發(fā)審批等行為管控，阻斷數(shù)據(jù)外發(fā)。在軟件供應(yīng)商、外包人員遠(yuǎn)程訪問內(nèi)網(wǎng)的場景下，SDP能夠?qū)K端數(shù)據(jù)進(jìn)行保護(hù)，有效防止數(shù)據(jù)泄露。

借助動態(tài)數(shù)據(jù)脫敏功能，企業(yè)可以對業(yè)務(wù)應(yīng)用中的手機(jī)號、銀行卡、身份證號等敏感數(shù)據(jù)進(jìn)行動態(tài)脫敏。針對Web應(yīng)用，芯盾時(shí)代SDP可以在無改造的情況下為Web頁面添加水印，對用戶進(jìn)行安全教育、安全震懾和安全追溯，降低拍照截屏外發(fā)風(fēng)險(xiǎn)。

隨著數(shù)字化轉(zhuǎn)型持續(xù)深入，供應(yīng)鏈安全已經(jīng)成為企業(yè)安全的重要組成部分，而零信任安全理念為應(yīng)對這一挑戰(zhàn)提供了有效解決方案。芯盾時(shí)代零信任業(yè)務(wù)安全解決方案，能夠幫助企業(yè)顯著提升供應(yīng)鏈的整體安全防護(hù)能力，為供應(yīng)鏈的健康和穩(wěn)定奠定堅(jiān)實(shí)基礎(chǔ)。