江湖有云，不怕神一樣的對手，就怕豬一樣的隊友。這句話放在網(wǎng)絡(luò)安全領(lǐng)域，就會變成：不怕神一樣的黑客，就怕靠不住的供應商。

這可不是在夸大其詞，2025年，供應鏈攻擊越發(fā)猖獗，給企業(yè)造成了巨大損失。Verizon發(fā)布的《2025數(shù)據(jù)泄露調(diào)查報告（DBIR）》顯示，過去一年中30%的數(shù)據(jù)泄露事件與第三方直接相關(guān)，軟件漏洞、云服務(wù)配置錯誤、合作伙伴權(quán)限濫用成為主要導火索。

既要防住從“正面陣地”進攻的黑客，還要防住從“友軍陣地”（供應商）偷襲而來的攻擊者，這一屆企業(yè)的壓力確實有點大……

供應鏈攻擊為何難以防范？

想要防住供應鏈攻擊，先要弄清供應鏈攻擊為何難以防范。其原因有四：

1.供應鏈生態(tài)系統(tǒng)復雜，擴大企業(yè)網(wǎng)絡(luò)暴露面

現(xiàn)代企業(yè)的供應鏈往往是一個錯綜復雜的生態(tài)系統(tǒng)，涉及到大量供應商、合作伙伴、第三方服務(wù)商和外包商等。這些外部實體可能擁有訪問企業(yè)關(guān)鍵系統(tǒng)、數(shù)據(jù)或基礎(chǔ)設(shè)施的權(quán)限，導致企業(yè)的網(wǎng)絡(luò)暴露面間接增大。由于企業(yè)無法完全控制外部供應商的安全防護措施，攻擊者可以從供應鏈中的任意環(huán)節(jié)滲透進來，攻擊入口更多，隱蔽性更強，讓企業(yè)難以防范。

2.對供應商的“過度信任”，成為安全邊界新漏洞

許多企業(yè)在與供應商合作時，默認這些外部實體是可信的。由于業(yè)務(wù)需求，企業(yè)往往需要授予它們較高的訪問權(quán)限。一旦攻擊者竊取了這些賬戶憑證，便能輕松繞過企業(yè)的安全防線，直接訪問企業(yè)內(nèi)網(wǎng)，利用高權(quán)限大肆進行竊取數(shù)據(jù)、安裝惡意軟件等非法操作。

3.難以監(jiān)控第三方訪問，識別并阻斷風險行為

VPN是供應商遠程訪問企業(yè)內(nèi)網(wǎng)的主要方式。由于VPN普遍存在“過度信任、靜態(tài)授權(quán)”的問題，企業(yè)無法對來自第三方的訪問進行動態(tài)監(jiān)控，導致來自供應鏈的非法訪問難以及時發(fā)現(xiàn)和阻斷，攻擊者可以在企業(yè)內(nèi)網(wǎng)橫向移動，給企業(yè)造成巨大損失。

4.安全水平參差不齊，第三方員工難以管控

不同供應商的安全水平參差不齊，尤其是中小型供應商往往沒有能力構(gòu)建完善的網(wǎng)絡(luò)安全和數(shù)據(jù)安全防護體系，為員工提供安全防護，管控員工的行為。攻擊者可以將安全水平弱的供應商作為突破口，通過入侵第三方員工終端設(shè)備、收買第三方員工竊取機密等方式，完成對目標企業(yè)的攻擊。

芯盾時代零信任業(yè)務(wù)安全解決方案

面對難纏的供應鏈攻擊，企業(yè)需要改變原有網(wǎng)絡(luò)安全架構(gòu)，以“身份”為核心構(gòu)建動態(tài)化、隨身化、微?；陌踩吔?，在每一家供應商的“陣地”前加筑一道安全防線。同時，落實“最小化授權(quán)”原則，對每一次訪問實施細粒度的動態(tài)訪問控制，對供應商員工的每一次操作進行精準管控，應對攻擊者的“偷襲”。

芯盾時代作為領(lǐng)先的零信任業(yè)務(wù)安全產(chǎn)品方案提供商，率先探索出成熟的零信任架構(gòu)建設(shè)落地路徑，打造了豐富的零信任安全產(chǎn)品線?；谟脩羯矸菖c訪問管理平臺（IAM）、零信任業(yè)務(wù)安全平臺（SDP）等產(chǎn)品，芯盾時代打造了零信任業(yè)務(wù)安全解決方案，能夠幫助企業(yè)構(gòu)建零信任安全架構(gòu)，強化對供應商的管控，有效防范供應鏈攻擊。

借助芯盾時代零信任業(yè)務(wù)安全解決方案，企業(yè)能夠在業(yè)務(wù)應用低改造、甚至0改造的情況下，一站式實現(xiàn)以下功能：

1.落實最小化授權(quán)，實施多因素認證

芯盾時代IAM具備全面的身份管理能力，能夠為供應商、合作伙伴、第三方服務(wù)商和外包商建立對應的身份，實現(xiàn)對不同身份的差異化管控。IAM支持RBAC、ABAC、ACL等多種權(quán)限管理模型，權(quán)限管理能力細至URL，幫助企業(yè)落實“最小化授權(quán)”，精準管控數(shù)據(jù)資源的訪問權(quán)限，杜絕越權(quán)訪問。

借助芯盾時代IAM，企業(yè)能夠一站式實施多因素認證，為供應商員工提供短信驗證碼、動態(tài)口令、App掃碼、指紋識別等認證方式，提升身份認證的安全性和便捷性，為企業(yè)把好網(wǎng)絡(luò)“入口關(guān)”，避免身份憑證泄露，有效防范網(wǎng)絡(luò)釣魚。

2.收斂資源暴露面，實施動態(tài)訪問控制

芯盾時代SDP采用流量代理和SPA單包授權(quán)技術(shù)，由網(wǎng)關(guān)統(tǒng)一代理業(yè)務(wù)應用訪問流量，同時對所有連接網(wǎng)關(guān)的設(shè)備進行預認證，不通過認證不開放端口，實現(xiàn)業(yè)務(wù)應用和網(wǎng)關(guān)雙重“隱身”。借助芯盾時代SDP，企業(yè)能夠有效收斂資源暴露面，同時防范來自供應鏈的非法訪問，不與攻擊者建立連接，避免系統(tǒng)中的漏洞被攻擊者利用。

借助芯盾時代SDP的動態(tài)訪問控制能力，企業(yè)能夠結(jié)合登錄時間、設(shè)備狀態(tài)等上下文信息，靈活設(shè)置訪問控制策略，當攻擊者進行下載機密文件、在非工作時間訪問敏感數(shù)據(jù)、執(zhí)行可疑命令時，自適應執(zhí)行阻斷、權(quán)限收斂等控制策略，及時阻斷非法訪問，避免攻擊者在內(nèi)網(wǎng)橫移。

3.強化終端安全，管控員工操作行為

憑借終端威脅態(tài)勢感知技術(shù)，SDP客戶端能夠識別終端設(shè)備是否安裝了殺毒軟件，是否存在遠程控制軟件、模擬器、程序雙開、攻擊框架、Root/越獄等風險，是否加入指定域控，是否安裝了操作系統(tǒng)補丁。在訪問過程中，客戶端持續(xù)檢測終端安全態(tài)勢、用戶的操作行為，為安全控制中心提供終端側(cè)的風險信息。

SDP客戶端內(nèi)置安全沙箱，企業(yè)可以在終端設(shè)備中構(gòu)建與本地空間完全隔離的安全工作空間，實現(xiàn)“數(shù)據(jù)不落地”，并實施禁止復制、禁止截屏、禁止打印、外發(fā)審批等行為管控，阻斷數(shù)據(jù)外發(fā)。在軟件供應商、外包人員遠程訪問內(nèi)網(wǎng)的場景下，SDP能夠?qū)K端數(shù)據(jù)進行保護，有效防止數(shù)據(jù)泄露。

借助動態(tài)數(shù)據(jù)脫敏功能，企業(yè)可以對業(yè)務(wù)應用中的手機號、銀行卡、身份證號等敏感數(shù)據(jù)進行動態(tài)脫敏。針對Web應用，芯盾時代SDP可以在無改造的情況下為Web頁面添加水印，對用戶進行安全教育、安全震懾和安全追溯，降低拍照截屏外發(fā)風險。

隨著數(shù)字化轉(zhuǎn)型持續(xù)深入，供應鏈安全已經(jīng)成為企業(yè)安全的重要組成部分，而零信任安全理念為應對這一挑戰(zhàn)提供了有效解決方案。芯盾時代零信任業(yè)務(wù)安全解決方案，能夠幫助企業(yè)顯著提升供應鏈的整體安全防護能力，為供應鏈的健康和穩(wěn)定奠定堅實基礎(chǔ)。