作者： Hailey Lynne McKeefry

全球幾乎所有行業(yè)都成了網(wǎng)絡(luò)犯罪分子的目標。潛在收益包括金錢、計算能力以及企業(yè)和客戶數(shù)據(jù)。電子產(chǎn)品供應(yīng)鏈尤其脆弱，因此網(wǎng)絡(luò)安全應(yīng)該成為我們大家的首要任務(wù)之一。

舉個例子：2025 年 2 月，臺灣印刷電路板（PC 板）制造商 Unimicron 遭到 Sarcoma 勒索軟件攻擊 ^1^ 。Sarcoma 是一個勒索軟件組織，在 2024 年 7 月至 2025 年 3 月期間共計發(fā)動了 83 起網(wǎng)絡(luò)攻擊（圖 1） ^2^ 。作為 Unimicron 入侵行動的一部分，網(wǎng)絡(luò)犯罪分子公布了據(jù)稱在入侵過程中從該公司系統(tǒng)中竊取的文件樣本，并威脅如果該公司不支付贖金，他們將泄露所有 377 GB 的 SQL 文件和公司數(shù)據(jù)文檔。

圖 1：Sarcoma 已向全球各地的組織發(fā)起勒索軟件攻擊，其中包括制造業(yè)和科技公司。目前，攻擊主要集中在北美和歐洲。（圖片來源：Ransomware.live）

問題日益嚴重

Cybersecurity Ventures 的一份 2025 年報告預(yù)測，[到 2025 年，網(wǎng)絡(luò)犯罪每年造成的損失將達到 10.5 萬億美元]，遠高于 2015 年的 3 萬億美元 ^3^ 。據(jù) Gartner 的一位消息人士估計，僅針對軟件供應(yīng)鏈的攻擊造成的損失就將從 2023 年的 460 億美元上升到 2031 年的 1380 億美元 ^4^ 。

入侵損失也在增加。IBM 研究估計，網(wǎng)絡(luò)安全入侵的平均損失已達 488 萬美元 ^5^ 。這僅包括硬損失，而不考慮潛在的軟損失，例如品牌侵蝕。

分析人士和專家指出了網(wǎng)絡(luò)犯罪迅速增加的幾種原因：

• 組織越來越依賴軟件： 在電子行業(yè)，各個公司過去依賴于各種自主開發(fā)的應(yīng)用程序，這形成了一個個保護孤島。現(xiàn)在，大多數(shù)組織都轉(zhuǎn)向第三方軟件和開源應(yīng)用程序，這給不法分子提供了注入惡意代碼并制造災(zāi)禍的機會（圖 2）。
• 員工越來越多地遠程辦公或混合辦公： 隨著越來越多的員工在家或不同地點工作，潛在攻擊面的增加也帶來了漏洞。
• 物聯(lián)網(wǎng) (IoT) 和云的使用正在激增： 雖然物聯(lián)網(wǎng)設(shè)備和云基礎(chǔ)設(shè)施很有用，但它們也為潛在攻擊者提供了更多的切入點。
• 攻擊者變得越來越老練： 國家支持的團體和勒索軟件攻擊者使用的技術(shù)越來越精細，可以攻擊各種組織。

圖 2：圖示為一個概覽，從中可以看到開源依賴關(guān)系中發(fā)現(xiàn)的惡意組件數(shù)量不斷增加。（圖片來源：Gartner）

落實安全第一的四種方法

攻擊者越來越聰明，因此組織需要時刻保持警惕。網(wǎng)絡(luò)安全就像一場大型冒險游戲：組織圍繞數(shù)據(jù)和公司系統(tǒng)構(gòu)建安全措施，而壞蛋則尋找新的方法來滲透系統(tǒng)。公司應(yīng)該定期評估其程序和技術(shù)，以領(lǐng)先于攻擊者，或者至少使之具有足夠的挑戰(zhàn)性，以便他們轉(zhuǎn)向其他目標。門戶網(wǎng)站和網(wǎng)絡(luò)必須提供安全保護并進行備份。無論是數(shù)字文件還是物理文件，都需要受到保護。

網(wǎng)絡(luò)安全保險必須納入預(yù)算。碰碰運氣或許挺吸引人，但與入侵損失相比，保險成本微不足道。這種保險可幫助組織收回處理入侵的法律費用和成本。它甚至可能補償因失去客戶或工人生產(chǎn)力而造成的損失。根據(jù) Embroker 的數(shù)據(jù)，到 2024 年，企業(yè)每年平均在網(wǎng)絡(luò)保險上花費為 1,200 至 7,000 美元，中位數(shù)費用約為每年 2,000 美元 ^6^ 。正如大家所料，網(wǎng)絡(luò)保險的價格一直在波動，并在 2022 年達到高點。自此以后，這些成本一直在下降。

另一個重要策略是組織安全審計。道德黑客或“白帽”黑客可以執(zhí)行滲透測試，以確定當前系統(tǒng)的漏洞所在，并在黑帽黑客發(fā)現(xiàn)漏洞之前找到漏洞。

最后，要確保您的組織了解投資網(wǎng)絡(luò)安全的重要性。這些努力應(yīng)該列為預(yù)算之一，以便逐年增加投資。

現(xiàn)代電子供應(yīng)鏈的現(xiàn)實情況是，組織遍布全球，其面臨的威脅也同樣遍布全球。入侵以及時間、金錢、聲譽和合規(guī)風(fēng)險的成本持續(xù)攀升，并且可能會持續(xù)下去。組織必須優(yōu)先考慮風(fēng)險防范并對安全進行投資。只要給予重視，OEM 就可以從供應(yīng)鏈應(yīng)用中獲益，從而提高可見性、彈性并緩解風(fēng)險，同時避免壞蛋挑釁的風(fēng)險。

參考文獻

1：[https://www.cm-alliance.com/cybersecurity-blog/february-2025-major-cyber-attacks-ransomware-attacks-data-breaches]

2：[https://www.ransomware.live/group/sarcoma]

3：[https://cybersecurityventures.com/cybersecurity-in-2025-challenges-risks-and-what-leaders-must-do/]

4：[https://www.gartner.com/doc/reprints]

5：[https://www.ibm.com/reports/data-breach]

6：[https://www.embroker.com/blog/cyber-insurance-cost/]