应对供应链网络威胁：在快速演变的网络环境中守护数据安全，守护数字供应链

关键要点

• 制造业供应链已成为网络犯罪分子的高价值目标，该行业连续第四年成为最受攻击的领域，面临着无休止的攻击。自2021年以来，供应链相关攻击激增431%，且这类攻击造成的损失最为惨重，解决过程最为缓慢。
• 供应商监管不力导致关键网络安全漏洞。许多制造商未能充分监控第三方和第四方供应商，使威胁行为者得以利用受信任的网络连接，通过供应链中的薄弱环节渗透主要目标，从而扩大网络攻击范围并加剧供应链网络风险暴露。
• 网络弹性强化了制造业供应链与市场优势。将安全设计原则、严格的供应商尽职调查以及网络供应链风险管理（C-SCRM）实践融入运营体系，使制造商能够构建安全、敏捷且可持续的供应链，在当今威胁密集的数字环境中同时提升业务连续性与市场竞争力。

制造业连续第四年成为网络攻击的首要目标领域。[1]全球超过26%的网络安全事件都针对制造业。随着供应链日益数字化与互联化，其本身也常成为攻击目标。威胁态势瞬息万变，日益复杂的攻击正瞄准供应链生态系统的每个环节——从软件供应商、物流服务商到制造商和分销商。

随着制造商在美国构建供应链，他们不仅在拓展业务，更在为长期韧性奠定基础。通过从一开始就整合网络安全最佳实践，企业能够将风险管理转化为运营的竞争优势，确保其增长既安全又可持续。

针对供应链的网络攻击持续增加

供应链网络攻击在发生频率、造成损失及解决时效方面均呈现激增态势。2021至2023年间，供应链相关攻击数量增长了431%。[2]去年，此类攻击已成为第二大常见 攻击载体（占去年所有安全漏洞的15%）。[3]同时也是造成损失第二严重的攻击类型。美国数据泄露事件的平均成本持续攀升，2025年较2024年相关数据增长9%至1022万美元，而供应链攻击造成的损失更为高昂。[4]供应链攻击的解决周期也最为漫长。 去年，涉及供应链的网络安全事件平均耗时 267天才能 完成检测与 控制。[5]

为什么？研究表明，企业未能充分监督其供应商，导致网络攻击被发现时往往为时已晚，不仅增加了成本，还延长了问题解决周期。 例如全球领先的研究咨询公司高德纳（Gartner）2024年的一项调查显示：尽管95%的企业 在过去12个月内发现 第三方供应商存在 安全隐患 ，但仅有 约半数将问题上报至合规团队。[6]

攻击者利用这些信任关系和广泛的网络。如下所述，攻击者利用供应商、经销商、制造商和客户之间既有的信任关系及其计算机间通信进行攻击。[7]他们还将目标锁定在供应链下游环节，如第三方和第四方供应商。攻击者深知，客户及其直接供应商往往未能对供应链下游的供应商实施充分监督，也未采取措施确保其合规性。[8]

这种趋势不太可能减缓，因为我们看到攻击者仍在不断完善其技术手段。对抗这些攻击的第一步，是深入理解其常见战术，从而实施机构层面的最佳实践。

供应链网络攻击：技术不断演进，手段却似曾相识

它们如何运作

供应链网络攻击利用了供应链合作伙伴之间的信任关系。所有组织在安装和使用其他公司的软件时，或与之建立供应商合作关系时，都会对对方存在某种程度的隐性信任。黑客往往选择阻力最小的路径，将目标锁定在相互关联的生态系统和软件链条中最薄弱的环节——因为他们能够通过单一入侵点渗透多个组织。

因此，即使贵组织防御严密且拥有强大的网络安全计划，一旦某家可信供应商存在安全漏洞，攻击者就会针对该供应商发起攻击，从而绕过其组织内部的所有安全措施。他们通过钓鱼攻击或社会工程学手段，窃取供应商员工的凭证信息。

一旦攻击者在供应商系统内获得立足点，我们观察到他们会通过横向移动在网络中探索并利用漏洞。 例如，他们可能利用未修补的软件漏洞、薄弱的访问控制或配置错误的系统来提升权限，进而深化渗透程度，将其作为跳板部署恶意软件或恶意代码，或直接获取主要目标组织的网络访问权限。这种弱点路径能绕过原本极其严密的安防措施，实现直接攻击。

这些威胁具有全球性影响。我们目睹过黑客——无论有意或无意——掌控任何组织的整个基础设施，即使该组织并非直接攻击目标。此外，如前所述，组织需要担心的不仅是直接供应商；风险可能深入供应链的更深处，涉及第三方乃至第四方供应商，因为单个供应商的中断就可能影响到下游多个环节。

影响供应链的常见网络攻击类型

尽管网络钓鱼、勒索软件和恶意软件等攻击手段依然泛滥，但人工智能（AI）的迅猛发展正使网络安全形势愈发严峻。事实上，2025年已报告的数据泄露事件中，16%涉及某种形式的人工智能技术。[9]攻击者如今正利用AI生成极具欺骗性的深度伪造冒名顶替者，以前所未有的速度打造逼真的网络钓鱼活动，并识别和利用复杂供应链中的漏洞。[10]例如，攻击者可能利用AI快速扫描目标公司高管公开可查的个人资料，据此定制针对每位收件人职位和沟通风格的钓鱼邮件，诱使不知情的员工点击恶意链接，从而将登录凭证泄露给未经授权的第三方。

三起备受瞩目的供应链网络安全事件，生动展现了这些战术的实际运作。

• 能源行业遭遇勒索软件攻击（2024年1月）：某跨国能源管理公司遭受重大勒索软件攻击，攻击者疑似与仙人掌勒索软件团伙有关联，通过利用VPN设备相关漏洞初始入侵其系统。 攻击者宣称窃取了1.5TB敏感数据，并泄露其中25MB内容，包含保密协议副本及美国公民护照扫描件。目前该攻击造成的经济损失及受影响客户数量尚未明确，但鉴于该集团在全球拥有逾2000家客户，损失规模预计相当可观。[11]
• 基于云的数据平台遭入侵事件（2024年4月）：某知名云端数据平台遭遇重大数据泄露，起因是软件工程师利用信息窃取类恶意软件窃取的凭证入侵网络。此次泄露事件导致165家客户的数据受损，这些客户合计处理着超过5亿人的数据。截至本文撰写时，此次泄露事件的总损失金额仍不明确。[12]
• 全球物流供应商与货运代理遭遇勒索软件攻击（2024年8月）。某大型全球物流及货运代理公司遭遇勒索软件攻击，导致技术中断并影响服务交付。 客户服务、计费系统、支付系统以及与客户和供应商系统的数据集成均受到影响。核心运营系统和面向客户的门户网站离线数日（后者导致客户无法实时追踪货运，在全球范围内造成物流挑战）。截至本文撰写时，该事件的总成本仍不明确。[13]

供应链中缓解网络风险的最佳实践

主动出击。供应链合作伙伴必须通过管理和防范供应链风险及网络相关中断来应对这些日益严峻的威胁，而非仅在问题发生时被动应对。供应链的强度取决于其最薄弱的环节。请从内部及整个供应链层面着手，落实安全防护措施。 

1. 设计即安全。在产品开发和实施阶段贯彻设计即安全原则。通过在早期阶段嵌入安全措施，组织能够减少可被利用的漏洞，并有助于增强其供应链系统的韧性。
2. 风险管理框架。实施一个综合性风险管理框架，整合网络供应链风险管理（C-SCRM）原则。[14]C-SCRM是贯穿整个供应链管理网络安全风险暴露并制定相应应对策略、政策、流程和程序的系统化过程。 此外，美国国家标准与技术研究院（NIST）网络安全框架（CSF）2.0版提供了结构化的网络风险管理方法，可作为各类规模和行业组织制定风险管理策略的基础。[15]CSF 2.0还包含额外的C-SCRM成果，以协助组织应对相关风险。 CSF C-SCRM类别[GV.SC]下的子类别起到桥梁作用，将网络安全导向的成果与更广泛的C-SCRM目标相衔接。
3. 人工智能与软件即服务（SaaS）治理。对所有内部（如员工）及外部（如供应商）各方使用的人工智能解决方案和SaaS工具进行全面盘点与管控，以最大限度降低供应链中可被利用的漏洞风险。 随着人工智能的发展，企业应更新针对AI驱动威胁的安全培训，评估第三方风险，并建立AI治理机制以维护安全。必须牢记：只有当员工理解如何正确遵守政策和流程时，治理计划才能真正发挥作用。
4. 供应商尽职调查。在选择供应商时进行全面尽职调查，评估其网络安全态势、事件响应能力、韧性，以及在数据保护和安全方面对适用法律法规及行业标准的遵守情况。这有助于识别并缓解与第三方供应商相关的潜在风险。
5. 对现有供应商进行全面评估。定期对现有供应商实施安全评估与审计，以评估网络安全控制措施和实践的有效性，并确保在整个供应链生命周期内符合相关安全标准及其他适用的法律和合同要求。同时建议实施C-SCRM实践，识别并缓解与第三方供应商相关的供应链风险。 此外，供应商管理需要在整个组织内建立有效的沟通机制，确保任何涉及第三方供应商的重大问题或安全相关问题都能及时上报并得到妥善处理。
6. 供应商合同。确保在与关键供应链供应商的每份招标书和合同中都包含严格的网络安全要求，至少应涵盖或解决以下方面：与供应商明确界定的责任及责任分配、供应商自身系统的弹性、人员定期培训、安全事件的及时通报及后续持续配合、定期审计、分包管理，以及符合适用法律和行业标准所需的其他相关措施。 企业还应定期审查并更新现有供应商合同，确保网络安全要求充分到位，若存在缺失则应寻求补充条款。
7. 持续监控与检测。实施持续监控与检测机制，以实时识别并应对网络威胁。例如，组织应考虑利用威胁情报源、安全信息与事件管理（SIEM）系统以及入侵检测/防御系统，对供应链中使用的系统和/或软件涉及的可疑活动及异常情况进行监控。
8. 安全访问控制、加密措施与补丁管理。实施强有力的访问控制和数据加密措施，以保护供应链内共享的敏感信息。对静态数据和传输中的数据进行加密，有助于防止未经授权的访问或截取。 访问控制（如多因素认证、基于角色的访问控制、最小权限原则等）可限制第三方供应商对关键资产和系统的访问权限。此外，需确保所有软件（包括操作系统和应用程序）及时安装最新安全补丁。定期更新可确保漏洞得到及时修复。
9. 事件响应与业务连续性计划。制定或更新现有事件响应计划，纳入针对涉及或源自关键第三方供应链供应商的网络事件的响应流程（并融入相关C-SCRM实践以应对供应链特有的威胁与漏洞）。此外，制定并定期测试业务连续性与灾难恢复计划亦属明智之举，以确保在供应链遭受网络攻击时业务运营的持续性。
10. 教育与意识提升。定期为员工、供应商及利益相关方提供网络安全意识培训，旨在：(一) 使其了解常见网络威胁及最佳实践的重要性；(二) 提升其对C-SCRM原则的认知，以及供应链安全在降低网络风险中的关键作用；(三) 帮助其识别潜在网络威胁并鼓励主动上报。

结论

对于拓展美国业务的制造商而言，现在正是将网络安全视为战略性推动力而非合规性勾选项的时机。具有韧性的供应链不仅更安全，更具备更高的智能性、敏捷性，并能为长期成功奠定更坚实的基础。

否则，忽视供应商风险管理将导致重大财务损失、知识产权盗窃、声誉损害及社会影响等风险。尽管网络威胁不可避免，企业可通过建立强大的供应商风险管理框架并加强安全措施，显著降低其影响。如此一来，企业将能更好地保护其宝贵资产、声誉及利益相关者关系。

[1] 参见IBM X-Force 2025威胁情报指数，详见https://www.ibm.com/thought-leadership/institute-business-value/en-us/report/2025-threat-intelligence-index（最后访问日期：2025年8月17日）。

[2] 参见 Cowbell Cyber，《2024年网络安全综述报告》，第4页，https://cowbell.insure/wp-content/uploads/pdfs/CB-US-Q4-CyberRoundupReport24.pdf（最后访问日期：2025年8月17日）。

[3] 同上，第1 7页。

[4]Ponemon研究所（由IBM赞助、分析并发布），《2025年数据泄露成本报告》（2024年8月）（以下简称 《数据泄露成本报告》），第4页，可访问：https://www.ibm.com/reports/data-breach（访问内容需注册）（最后访问日期：2025年8月17日）。

[5] 同上，第 18页。

[6]Gartner,《Gartner指出合规领导者需与关系负责人保持持续沟通以有效管理第三方风险》( 2025年4月23日),https://www.gartner.com/en/newsroom/press-releases/2025-04-23-gartner-says-compliance-leaders-need-consistent-communication-with-relationship-owners-to-effectively-manage-tihird-party-work.  

[7] 参见 《数据泄露成本报告》第18页。

[8] 参见同上。

[9] 参见同上，第38页。

[10] 参见同上。

[11]Secureframe，《20起近期网络攻击及其对网络安全未来的启示》（2025年7月15日），可访问：https://secureframe.com/blog/recent-cyber-attacks（最后访问日期：2025年8月17日）。

[12]拉维·拉克什曼南， 雪花公司数据泄露事件暴露165家客户信息，勒索活动仍在持续（2024年6月11日），可访问：https://thehackernews.com/2024/06/snowflake-breach-exposes-165-customers.html（最后访问日期：2025年8月17日）。

[13]世界经济论坛，《为何网络弹性应成为货运代理的首要任务》（2025年6月4日），可访问：https://www.weforum.org/stories/2025/06/cyber-resilience-top-priority-for-freight-forwarders/。

[14]美国国家标准与技术研究院《安全实践指南》SP 800-161 修订版 1 (2024)，https://csrc.nist.gov/pubs/sp/800/161/r1/upd1/final。

[15]美国国家标准与技术研究院《网络安全框架（CSF）2.0》（2024年），https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf。