江湖有云，不怕神一樣的對(duì)手，就怕豬一樣的隊(duì)友。這句話放在網(wǎng)絡(luò)安全領(lǐng)域，就會(huì)變成：不怕神一樣的黑客，就怕靠不住的供應(yīng)商。

這可不是在夸大其詞，2025年，供應(yīng)鏈攻擊越發(fā)猖獗，給企業(yè)造成了巨大損失。Verizon發(fā)布的《2025數(shù)據(jù)泄露調(diào)查報(bào)告（DBIR）》顯示，過(guò)去一年中30%的數(shù)據(jù)泄露事件與第三方直接相關(guān)，軟件漏洞、云服務(wù)配置錯(cuò)誤、合作伙伴權(quán)限濫用成為主要導(dǎo)火索。

既要防住從“正面陣地”進(jìn)攻的黑客，還要防住從“友軍陣地”（供應(yīng)商）偷襲而來(lái)的攻擊者，這一屆企業(yè)的壓力確實(shí)有點(diǎn)大……

供應(yīng)鏈攻擊為何難以防范？

想要防住供應(yīng)鏈攻擊，先要弄清供應(yīng)鏈攻擊為何難以防范。其原因有四：

1.供應(yīng)鏈生態(tài)系統(tǒng)復(fù)雜，擴(kuò)大企業(yè)網(wǎng)絡(luò)暴露面

現(xiàn)代企業(yè)的供應(yīng)鏈往往是一個(gè)錯(cuò)綜復(fù)雜的生態(tài)系統(tǒng)，涉及到大量供應(yīng)商、合作伙伴、第三方服務(wù)商和外包商等。這些外部實(shí)體可能擁有訪問(wèn)企業(yè)關(guān)鍵系統(tǒng)、數(shù)據(jù)或基礎(chǔ)設(shè)施的權(quán)限，導(dǎo)致企業(yè)的網(wǎng)絡(luò)暴露面間接增大。由于企業(yè)無(wú)法完全控制外部供應(yīng)商的安全防護(hù)措施，攻擊者可以從供應(yīng)鏈中的任意環(huán)節(jié)滲透進(jìn)來(lái)，攻擊入口更多，隱蔽性更強(qiáng)，讓企業(yè)難以防范。

2.對(duì)供應(yīng)商的“過(guò)度信任”，成為安全邊界新漏洞

許多企業(yè)在與供應(yīng)商合作時(shí)，默認(rèn)這些外部實(shí)體是可信的。由于業(yè)務(wù)需求，企業(yè)往往需要授予它們較高的訪問(wèn)權(quán)限。一旦攻擊者竊取了這些賬戶(hù)憑證，便能輕松繞過(guò)企業(yè)的安全防線，直接訪問(wèn)企業(yè)內(nèi)網(wǎng)，利用高權(quán)限大肆進(jìn)行竊取數(shù)據(jù)、安裝惡意軟件等非法操作。

3.難以監(jiān)控第三方訪問(wèn)，識(shí)別并阻斷風(fēng)險(xiǎn)行為

VPN是供應(yīng)商遠(yuǎn)程訪問(wèn)企業(yè)內(nèi)網(wǎng)的主要方式。由于VPN普遍存在“過(guò)度信任、靜態(tài)授權(quán)”的問(wèn)題，企業(yè)無(wú)法對(duì)來(lái)自第三方的訪問(wèn)進(jìn)行動(dòng)態(tài)監(jiān)控，導(dǎo)致來(lái)自供應(yīng)鏈的非法訪問(wèn)難以及時(shí)發(fā)現(xiàn)和阻斷，攻擊者可以在企業(yè)內(nèi)網(wǎng)橫向移動(dòng)，給企業(yè)造成巨大損失。

4.安全水平參差不齊，第三方員工難以管控

不同供應(yīng)商的安全水平參差不齊，尤其是中小型供應(yīng)商往往沒(méi)有能力構(gòu)建完善的網(wǎng)絡(luò)安全和數(shù)據(jù)安全防護(hù)體系，為員工提供安全防護(hù)，管控員工的行為。攻擊者可以將安全水平弱的供應(yīng)商作為突破口，通過(guò)入侵第三方員工終端設(shè)備、收買(mǎi)第三方員工竊取機(jī)密等方式，完成對(duì)目標(biāo)企業(yè)的攻擊。

芯盾時(shí)代零信任業(yè)務(wù)安全解決方案

面對(duì)難纏的供應(yīng)鏈攻擊，企業(yè)需要改變?cè)芯W(wǎng)絡(luò)安全架構(gòu)，以“身份”為核心構(gòu)建動(dòng)態(tài)化、隨身化、微?；陌踩吔?，在每一家供應(yīng)商的“陣地”前加筑一道安全防線。同時(shí)，落實(shí)“最小化授權(quán)”原則，對(duì)每一次訪問(wèn)實(shí)施細(xì)粒度的動(dòng)態(tài)訪問(wèn)控制，對(duì)供應(yīng)商員工的每一次操作進(jìn)行精準(zhǔn)管控，應(yīng)對(duì)攻擊者的“偷襲”。

芯盾時(shí)代作為領(lǐng)先的零信任業(yè)務(wù)安全產(chǎn)品方案提供商，率先探索出成熟的零信任架構(gòu)建設(shè)落地路徑，打造了豐富的零信任安全產(chǎn)品線。基于用戶(hù)身份與訪問(wèn)管理平臺(tái)（IAM）、零信任業(yè)務(wù)安全平臺(tái)（SDP）等產(chǎn)品，芯盾時(shí)代打造了零信任業(yè)務(wù)安全解決方案，能夠幫助企業(yè)構(gòu)建零信任安全架構(gòu)，強(qiáng)化對(duì)供應(yīng)商的管控，有效防范供應(yīng)鏈攻擊。

借助芯盾時(shí)代零信任業(yè)務(wù)安全解決方案，企業(yè)能夠在業(yè)務(wù)應(yīng)用低改造、甚至0改造的情況下，一站式實(shí)現(xiàn)以下功能：

1.落實(shí)最小化授權(quán)，實(shí)施多因素認(rèn)證

芯盾時(shí)代IAM具備全面的身份管理能力，能夠?yàn)楣?yīng)商、合作伙伴、第三方服務(wù)商和外包商建立對(duì)應(yīng)的身份，實(shí)現(xiàn)對(duì)不同身份的差異化管控。IAM支持RBAC、ABAC、ACL等多種權(quán)限管理模型，權(quán)限管理能力細(xì)至URL，幫助企業(yè)落實(shí)“最小化授權(quán)”，精準(zhǔn)管控?cái)?shù)據(jù)資源的訪問(wèn)權(quán)限，杜絕越權(quán)訪問(wèn)。

借助芯盾時(shí)代IAM，企業(yè)能夠一站式實(shí)施多因素認(rèn)證，為供應(yīng)商員工提供短信驗(yàn)證碼、動(dòng)態(tài)口令、App掃碼、指紋識(shí)別等認(rèn)證方式，提升身份認(rèn)證的安全性和便捷性，為企業(yè)把好網(wǎng)絡(luò)“入口關(guān)”，避免身份憑證泄露，有效防范網(wǎng)絡(luò)釣魚(yú)。

2.收斂資源暴露面，實(shí)施動(dòng)態(tài)訪問(wèn)控制

芯盾時(shí)代SDP采用流量代理和SPA單包授權(quán)技術(shù)，由網(wǎng)關(guān)統(tǒng)一代理業(yè)務(wù)應(yīng)用訪問(wèn)流量，同時(shí)對(duì)所有連接網(wǎng)關(guān)的設(shè)備進(jìn)行預(yù)認(rèn)證，不通過(guò)認(rèn)證不開(kāi)放端口，實(shí)現(xiàn)業(yè)務(wù)應(yīng)用和網(wǎng)關(guān)雙重“隱身”。借助芯盾時(shí)代SDP，企業(yè)能夠有效收斂資源暴露面，同時(shí)防范來(lái)自供應(yīng)鏈的非法訪問(wèn)，不與攻擊者建立連接，避免系統(tǒng)中的漏洞被攻擊者利用。

借助芯盾時(shí)代SDP的動(dòng)態(tài)訪問(wèn)控制能力，企業(yè)能夠結(jié)合登錄時(shí)間、設(shè)備狀態(tài)等上下文信息，靈活設(shè)置訪問(wèn)控制策略，當(dāng)攻擊者進(jìn)行下載機(jī)密文件、在非工作時(shí)間訪問(wèn)敏感數(shù)據(jù)、執(zhí)行可疑命令時(shí)，自適應(yīng)執(zhí)行阻斷、權(quán)限收斂等控制策略，及時(shí)阻斷非法訪問(wèn)，避免攻擊者在內(nèi)網(wǎng)橫移。

3.強(qiáng)化終端安全，管控員工操作行為

憑借終端威脅態(tài)勢(shì)感知技術(shù)，SDP客戶(hù)端能夠識(shí)別終端設(shè)備是否安裝了殺毒軟件，是否存在遠(yuǎn)程控制軟件、模擬器、程序雙開(kāi)、攻擊框架、Root/越獄等風(fēng)險(xiǎn)，是否加入指定域控，是否安裝了操作系統(tǒng)補(bǔ)丁。在訪問(wèn)過(guò)程中，客戶(hù)端持續(xù)檢測(cè)終端安全態(tài)勢(shì)、用戶(hù)的操作行為，為安全控制中心提供終端側(cè)的風(fēng)險(xiǎn)信息。

SDP客戶(hù)端內(nèi)置安全沙箱，企業(yè)可以在終端設(shè)備中構(gòu)建與本地空間完全隔離的安全工作空間，實(shí)現(xiàn)“數(shù)據(jù)不落地”，并實(shí)施禁止復(fù)制、禁止截屏、禁止打印、外發(fā)審批等行為管控，阻斷數(shù)據(jù)外發(fā)。在軟件供應(yīng)商、外包人員遠(yuǎn)程訪問(wèn)內(nèi)網(wǎng)的場(chǎng)景下，SDP能夠?qū)K端數(shù)據(jù)進(jìn)行保護(hù)，有效防止數(shù)據(jù)泄露。

借助動(dòng)態(tài)數(shù)據(jù)脫敏功能，企業(yè)可以對(duì)業(yè)務(wù)應(yīng)用中的手機(jī)號(hào)、銀行卡、身份證號(hào)等敏感數(shù)據(jù)進(jìn)行動(dòng)態(tài)脫敏。針對(duì)Web應(yīng)用，芯盾時(shí)代SDP可以在無(wú)改造的情況下為Web頁(yè)面添加水印，對(duì)用戶(hù)進(jìn)行安全教育、安全震懾和安全追溯，降低拍照截屏外發(fā)風(fēng)險(xiǎn)。

隨著數(shù)字化轉(zhuǎn)型持續(xù)深入，供應(yīng)鏈安全已經(jīng)成為企業(yè)安全的重要組成部分，而零信任安全理念為應(yīng)對(duì)這一挑戰(zhàn)提供了有效解決方案。芯盾時(shí)代零信任業(yè)務(wù)安全解決方案，能夠幫助企業(yè)顯著提升供應(yīng)鏈的整體安全防護(hù)能力，為供應(yīng)鏈的健康和穩(wěn)定奠定堅(jiān)實(shí)基礎(chǔ)。