应对供应链网络威胁：在快速演变的网络环境中保护数据和数字供应链

主要收获

• 制造业供应链已成为网络犯罪分子的高价值目标，面临着无情的攻击，该行业已连续四年成为攻击目标最多的行业。自 2021 年以来，与供应链相关的攻击激增了 431%，是成本最高、解决速度最慢的攻击之一。
• 对供应商的监督不足会造成关键的网络安全漏洞。许多制造商未能充分监控第三方和第四方供应商，使威胁行为者得以利用可信网络连接，并通过供应链中的薄弱环节渗透到主要目标，从而扩大网络攻击的范围，增加供应链的网络风险敞口。
• 网络复原力可加强制造业供应链和市场优势。将安全设计原则、健全的供应商尽职调查和网络供应链风险管理（C-SCRM）实践融入运营中，使制造商能够建立安全、灵活和可持续的供应链，在当今威胁密集的数字环境中增强业务连续性和市场竞争力。

制造业连续第四年成为网络攻击的最大目标行业[1]。在全球发生的网络攻击中，超过 26% 针对制造业。随着供应链日益数字化和相互关联，供应链往往成为攻击目标。威胁形势瞬息万变，从软件供应商和物流提供商到制造商和分销商，供应链生态系统中的每个环节都成为日益复杂的攻击目标。

在制造商建立美国供应链的过程中，他们不仅仅是在扩大业务，更是在为长期的恢复能力奠定基础。通过从一开始就整合网络安全最佳实践，企业可以将风险管理转化为运营的竞争优势，并确保其增长既安全又可持续。

针对供应链的网络攻击持续上升

供应链网络攻击在发生率、成本和解决时限方面都急剧上升。2021 年至 2023 年期间，与供应链相关的攻击数量增加了 431%。[2]去年，它们成为第二大最普遍 的 攻击 载体（占去年所有入侵事件的 15%）。在美国，入侵的平均成本持续上升，2025 年增加了 9%，达到 1,022 万美元（基于 2024 年相关入侵的数据），供应链入侵的成本甚至更高[4]。去年，供应链中与网络相关的入侵事件总共需要 267 天 才能被 发现 和 控制[5]。

原因何在？研究表明，企业没有对其供应商进行充分监督，这导致了潜在的检测，并增加了最终检测到网络攻击时的成本和解决周期。例如，世界领先的研究和咨询公司 Gartner 在 2024 年进行的一项调查显示，虽然95% 的企业 在过去 12 个月中看到了 与第三方供应商相关的红旗 ，但只有约 一半的 企业 将其上报给合规团队[6]。

攻击者利用这些信任关系和广阔的网络。如下文详述，攻击者利用供应商、销售商、制造商和客户之间建立的信任关系及其计算机之间的通信。攻击者知道，客户及其直接供应商通常不会对供应链下游的供应商进行足够的监督，也不会努力确保这些供应商的合规性[8]。

这种趋势不太可能减缓，因为我们看到攻击者在不断改进他们的技术。打击这些攻击的第一步是更好地了解他们的常用策略，以便实施机构最佳实践。

供应链网络攻击：技术不断发展，战术却似曾相识

它们如何工作

供应链网络攻击利用的是供应合作伙伴之间的信任关系。所有组织对其他公司都有一定程度的隐性信任，因为他们会在自己的网络中安装和使用该公司的软件，或作为供应商与他们合作。黑客通常会选择阻力最小的途径，瞄准相互关联的生态系统和软件链中最薄弱的环节，因为他们有能力通过单点入侵渗透多个组织。

因此，即使您的组织有完善的防御措施和强大的网络安全计划，但如果您信任的供应商之一不安全，攻击者就会以该供应商为目标，绕过供应商组织的任何安全措施。他们会发起网络钓鱼计划或社交工程攻击，以破坏供应商员工的凭证。

一旦攻击者在供应商的系统中站稳脚跟，我们就会看到他们通过在网络中横向移动来探索和利用漏洞。例如，他们可能会利用未修补的软件漏洞、薄弱的访问控制或配置错误的系统来提升权限，并进一步加深渗透，将其作为部署恶意软件或恶意代码的发射平台，或以其他方式进入主要目标组织的网络。这种弱链接途径可以绕过原本极其困难的安全措施，直接进行攻击。

这些威胁具有全球性影响。我们已经看到，黑客有意或无意地控制了任何组织的整个基础设施，即使它没有成为直接目标。此外，如上所述，组织必须担心的不仅仅是直接供应商，风险可能会深入到供应链中的第三方和第四方供应商，因为单个供应商的中断会影响到供应链中的多个环节。

影响供应链的一些常见网络攻击类型

虽然网络钓鱼、勒索软件和恶意软件等手段仍然普遍存在，但人工智能（AI）的快速发展使网络安全形势更具挑战性。事实上，在 2025 年已报告的数据泄露事件中，有 16% 涉及某种形式的人工智能。[9]现在，威胁方正在利用人工智能生成极具说服力的深度假冒，以前所未有的速度制作逼真的网络钓鱼活动，并在复杂的供应链中识别和利用漏洞。[10]例如，威胁者可能会利用人工智能快速扫描目标公司高管的公开资料，并利用这些信息创建针对每个收件人的角色和沟通风格的网络钓鱼电子邮件，引导不知情的员工点击恶意链接，将其登录凭证透露给未经授权的第三方。

三起备受瞩目的供应链网络安全事件就说明了这些策略的作用。

• 影响能源行业的勒索软件攻击（2024 年 1 月）：据信与 Cactus 勒索软件团伙有关的威胁行为者利用与 VPN 设备有关的漏洞获得了对其系统的初始访问权限，随后一家跨国能源管理公司遭受了大规模勒索软件攻击。攻击者声称外泄了 1.5TB 的敏感数据，并泄露了其中 25 MB 的数据，包括保密协议副本和扫描的美国公民护照。迄今为止，此次攻击的成本和受影响客户的数量尚不清楚。不过，鉴于该公司为全球 2,000 多家客户提供服务，受影响的客户数量很可能很大。
• 云数据平台黑客攻击（2024 年 4 月）： 一名软件工程师利用通过信息窃取恶意软件窃取的凭证潜入网络，导致一个流行的云数据平台发生重大数据泄露事件。这次漏洞泄露了 165 名客户的数据，这些客户总共处理了超过 5 亿人的数据。截至本文撰写之日，该漏洞的总成本仍然未知[12]。
• 全球物流供应商和货运代理遭遇勒索软件攻击（2024 年 8 月）。一家大型全球物流和货运代理公司遭遇勒索软件攻击，导致技术中断并影响服务交付。客户服务、计费、支付系统以及与客户和供应商系统的数据集成都受到了影响。中央运营系统和面向客户的门户网站脱机数日（后者导致客户无法实时跟踪货物，给全球物流带来挑战）。

降低整个供应链网络风险的最佳做法

未雨绸缪。供应合作伙伴必须通过管理供应链风险和网络相关干扰并做好准备，而不仅仅是在问题发生时才做出反应，以适应这些急剧增长的威胁。供应链的强度取决于其最薄弱的环节。从内部和整个供应链考虑，实施安全协议。 

1. 设计安全。在产品开发和实施阶段贯彻安全设计原则。通过尽早嵌入安全措施，企业可以减少可利用的漏洞，并帮助增强供应链系统的复原力。
2. 风险管理框架。14]C-SCRM 是一个系统化流程，用于管理整个供应链中的网络安全风险，并制定适当的应对策略、政策、流程和程序。此外，美国国家标准与技术研究院（"NIST"）的网络安全框架（CSF）2.0 提供了管理网络风险的结构化方法，可作为各种规模和行业的组织制定其风险管理策略的基础。CSF C-SCRM 类别 [GV.SC] 中的子类别可作为桥梁，将以网络安全为重点的成果与更广泛的 C-SCRM 目标联系起来。
3. 人工智能和软件即服务（"SaaS"）管理。对所有内部（如员工）和外部（如供应商）人工智能解决方案和 SaaS 工具的所有使用情况进行编目和控制，以帮助最大限度地减少整个供应链中的可利用漏洞。随着人工智能的发展，企业应针对人工智能驱动的威胁更新安全培训，评估第三方风险，并建立人工智能治理以维护安全。重要的是要记住，只有当员工了解如何正确遵守其政策和程序时，治理计划才会有效。
4. 供应商尽职调查。在选择供应商时进行彻底的尽职调查，评估其网络安全状况、事件响应能力、恢复能力，以及是否遵守与数据保护和安全有关的适用法律、法规和行业标准。这有助于识别和降低与第三方供应商相关的潜在风险。
5. 彻底评估现有供应商。定期对现有供应商进行安全评估和审计，以评估网络安全控制和实践的有效性，并确保在整个供应链生命周期中遵守相关安全标准和其他适用的法律及合同要求。还建议您实施 C-SCRM 实践，以识别和降低与第三方供应商相关的供应链风险。此外，供应商管理需要在整个组织内进行有效的沟通，以确保任何涉及第三方供应商的重大问题或与安全相关的问题都能适当上报，以便进行补救。
6. 供应商合同。确保在每份征求建议书和与关键供应链供应商签订的合同中都有健全的网络安全要求，至少涵盖或解决以下问题：明确界定的责任和与供应商的责任分配、供应商自身系统的弹性、对其人员的定期培训、安全事件的及时通知和与贵组织在此方面的持续合作、定期审计、分包以及遵守适用法律和行业标准所需的其他相关措施。公司还应定期审查和更新现有的供应商合同，以确保有足够的网络安全要求，如果没有，则应寻求增补。
7. 持续监控和检测。实施持续监控和检测机制，实时识别和应对网络威胁。例如，企业应考虑利用威胁情报反馈、安全信息和事件管理 (SIEM) 系统以及入侵检测/预防系统，监控供应链中使用的系统和/或软件的可疑活动和异常情况。
8. 安全访问控制、加密措施和补丁管理。实施强大的访问控制和数据加密措施，保护供应链内共享的敏感信息。对静态数据和传输中的数据进行加密，有助于防止未经授权的访问或拦截。访问控制（如多因素身份验证、基于角色的访问控制、最小特权原则等）有助于限制第三方供应商对关键资产和系统的访问。此外，包括操作系统和应用程序在内的所有软件都要及时更新最新的安全补丁。定期更新可确保漏洞得到及时处理。
9. 事件响应和业务连续性计划。制定或更新现有的事件响应计划，纳入应对涉及或源自主要第三方供应链供应商的网络事件的流程（并加入相关的 C-SCRM 实践，以应对供应链特有的威胁和漏洞）。此外，谨慎的做法是制定并定期测试业务连续性和灾难恢复计划，以确保在发生供应链网络攻击时业务的连续性。
10. 教育和提高认识。定期为员工、供应商和利益相关者提供网络安全意识培训，以便 (i) 让他们了解常见网络威胁和最佳实践的重要性，(ii) 提高对 C-SCRM 原则和供应链安全在降低网络风险方面的重要性的认识，(iii) 帮助他们识别并鼓励他们报告潜在的网络威胁。

结论

对于正在美国拓展业务的制造商来说，现在是时候将网络安全视为战略推动力，而不是合规性检查框。有弹性的供应链不仅更安全，而且更智能、更灵活，并能更好地实现长期成功。

否则，忽视供应商风险管理会带来重大经济损失、知识产权被盗、声誉受损和社会影响等风险。虽然网络威胁不可避免，但企业可以通过建立强大的供应商风险管理框架和加强安全措施，将其影响降至最低。这样，企业就能更好地保护其宝贵的资产、声誉和利益相关者关系。

[1] 见 IBM X-Force 2025 威胁情报指数，可登录https://www.ibm.com/thought-leadership/institute-business-value/en-us/report/2025-threat-intelligence-index（最后访问日期：2025 年 8 月 17 日）。

[2] 见 Cowbell Cyber，《2024 年网络综述报告》，第 4 页，https://cowbell.insure/wp-content/uploads/pdfs/CB-US-Q4-CyberRoundupReport24.pdf（最后访问日期：2025 年 8 月 17 日）。

[3] 同上 ，第 17 页。

[4]PonemonInstitute（由 IBM 赞助、分析和发布），《2025 年数据泄露成本报告》（2024 年 8 月）（下称 "数据泄露成本报告"），第 4 页，见https://www.ibm.com/reports/data-breach（访问内容需注册）（最后访问日期：2025 年 8 月 17 日）。

[5] 同上 ，第 18 页。

[6]Gartner，《Gartner 称合规领导者需要与关系所有者保持一致沟通以有效管理第三方风险 》（2025 年 4 月 23 日），https://www.gartner.com/en/newsroom/press-releases/2025-04-23-gartner-says-compliance-leaders-need-consistent-communication-with-relationship-owners-to-effectively-manage-tihird-party-work。  

[7] 见《 数据泄露的成本报告》，第 18 页。

[8] 见同上。

[9] 见同上，第 38 页。

[10] 见同上。

[11]Secureframe，《20 次近期网络攻击及其对未来网络安全的启示》（2025 年 7 月 15 日），详情可登录https://secureframe.com/blog/recent-cyber-attacks（最后访问日期：2025 年 8 月 17 日）。

[12]Ravie Lakshmanan,Snowflake Breach Exposes 165 Customers' Data in ongoing Extortion Campaign(Jun. 11, 2024), available athttps://thehackernews.com/2024/06/snowflake-breach-exposes-165-customers.html(last accessed Aug. 17, 2025).

[13]世界经济论坛，《为什么网络复原力应成为货运代理公司的首要任务》（2025 年 6 月 4 日），见https://www.weforum.org/stories/2025/06/cyber-resilience-top-priority-for-freight-forwarders/。

[14]NIST SP 800-161 Rev. 1 (2024),https://csrc.nist.gov/pubs/sp/800/161/r1/upd1/final.

[15]NIST 网络安全框架 (CSF) 2.0 (2024),https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf。