尽管紧张的形势有所放缓，但是全球供应链仍未从疫情的危机中彻底走出，供应短缺事件在各个行业频繁发生，这也凸显了供应链的脆弱。盯上供应链的还有网络攻击：近年来，供应链攻击事件呈现爆发增长的态势，欧洲网络和信息安全局发布的《供应链攻击的威胁分析》报告指出，眼下攻击者已经将注意力转移到供应商上，和2020年相比，2021年供应链攻击已经显著提升。亚信安全在《2022网络安全发展趋势及十大威胁预测》中也指出，供应链威胁暴增，“安全左移”势在必行。

那么，对于企业来说，在做好自身安全防护的同时，如何应对愈演愈烈的供应链攻击呢？

频繁带来行业“地震”的供应链攻击

顾名思义，供应链攻击指的是对于供应链所发动的网络攻击，在典型供应链攻击中，攻击者会将供应链作为攻击对象，先攻击供应链中安全防护相对薄弱的企业，然后再利用供应链之间的相互连接（如软件供应、开源应用）等，将风险扩大至上下游企业，产生攻击涟漪效应和巨大的破坏性。供应链攻击的手段包括：利用供应商的产品进行注入、利用第三方应用程序、利用开放源代码库中包含的漏洞等等。

与其它攻击形式相比，供应链攻击往往牵涉到更多的企业，且更具破坏性，甚至会给整个行业带来巨大的影响。

2021年3月，作为全球90%航空公司的通信和IT供应商，国际航空电信公司(SITA)受到供应链攻击，导致多家航空公司的乘客数据被窃取；

2021年7月，REvil勒索软件团伙利用Kaseya远程管理软件发动供应链攻击，波及17个国家，上千家企业和机构，上百万台设备被加密……

这些攻击不仅给涉及到的企业带来了巨大的损失，而且还对整个供应链造成扰动。

之所以供应链攻击愈发肆虐，一方面在于，随着全球范围内各个产业的经济联系都在日趋紧密，企业的供应链正在逐步延长，供应链安全形势更加复杂化，暴露在外的供给面也逐步扩展，这在加大了防护难度的同时，也让攻击者更有动力发动以供应链为目标的网络攻击；另一方面，很多企业长期以来只关注自身网络安全的防护，而忽略了供应商产品的安全状况，导致未经过严格安全认证与审核的访问进入企业，带来巨大风险。

值得一提的是，随着企业正在加速拥抱开源社区，企业将更有可能受到开源生态中的供应链攻击所影响。2021年，针对开源软件的供应链攻击暴增650%，全球的各软件开发企业累计从开源平台上引用2万亿的开源软件包或者组件，其中可能存在大量未经严格安全审查的漏洞，一旦这些漏洞随着开源代码被引入到企业的软件之中，攻击者就有可能同时对大量企业进行攻击。此外，由于针对开源软件的供应链攻击的影响面极广，且漏洞利用的成本较低，漏洞修复时间周期较长，攻击者还可能将漏洞直接注入到开源代码中，发动更加主动的攻击。

亚信安全建议以“零信任+XDR”对抗供应链攻击

供应链攻击之所以很难应对，不仅在于供应商的网络安全环境非常复杂，还在于攻击者滥用了供应链之间的信任关系，并通过供应链关系来挖掘上下游之间的关系，以获取更多的数据和权限。因此，要应对供应链攻击，一个重中之重便是提高安全审查的门槛，并默认对于所有来自供应链的访问都进行审核。

亚信安全建议在供应链合作中，企业应该遵循零信任原则，全面审核供应链产品与服务的安全。所有对于系统的访问都会建立在身份、端点、服务等一系列参与服务的角色，必须得到安全策略一致的验证和授权之后才能进行。因此，这必将是替代传统网络安全架构和防御策略的核心，更是企业未来数字化商业的一个重要基础。

此外，在供应链攻击中，攻击者为了最大化攻击成果，往往都“深谋远虑”，对于攻击方式与工具进行了深度定制，因此很有可能会让企业防不胜防。此外，即使是在“零信任”的框架下，企业依然无法保证所有的供应链产品与组件都是安全的，因此提升对于隐藏高级风险的发现能力，并确保从网络安全攻击中恢复也至关重要。

针对上述攻击特征亚信安全的XDR解决方案提供了高效的解决方案，其包括“准备、发现、分析、遏制、消除、恢复、优化”这7个阶段。能够在发现威胁数据之后，将数据集中到本地威胁情报和云端威胁情报做分析，利用机器学习和专家团队，通过分析黑客进攻的时间、路径、工具等所有细节，其特征提取出来，再进行遏制、清除、恢复和优化。

防护供应链攻击，严格的安全意识与规范必不可少

要更好地防护供应链攻击，除了网络安全方案与服务之外，还需要员工有严格的安全意识，把安全性的评估作为开发过程中的必要评审项。开发环节严格遵守开发规范，开发完成的软硬件发布前，交给独立的内部或外部测评组织进行安全性评估，及时解决所发现的问题。

此外，企业还需要制定严格的安全规范，建立可信的开发环境，这包括选择安全规范较强开源应用/开源库、算法等，采购安全可信的软件外包服务。关注所用组件的安全通告，如被揭露出严重安全问题，通过配置或加入其他安全性控制作为缓解措施，必要时升级相关的组件，从而建立完善的使用规范，保障安全的底线。