供应链安全成为网络安全的“阿喀琉斯之踵”。
一
引言
供应链安全被誉为网络安全的“阿喀琉斯之踵”,原因在于其全球性的复杂性和对第三方环节的高度依赖。这些特点使得攻击者能够通过看似正常的供应链渠道实施破坏。现代供应链包含了芯片、算法框架、开源组件等多个层级,并且这些层级遍布不同的国家和地区。攻击者可以通过篡改芯片、植入恶意代码等手段进行破坏。例如,在黎巴嫩“寻呼机爆炸事件”中,攻击者将炸药嵌入通信模块并通过远程控制引爆;而Log4j漏洞事件则是通过开源组件引发了全球范围内的安全危机。
供应链的环节错综复杂,流程和链条冗长,这为攻击者提供了越来越多的攻击面。供应链的每一个环节都可能成为攻击者的突破口。供应链不仅涉及到传统意义上的供应商到消费者之间的信息流问题,还包括系统和业务漏洞、非后门植入、软件预装等问题,甚至还包括更高级的供应链预制问题。供应商的活动涵盖了系统开发、产品供应、运营运维与安全服务、集成建设、云服务、数据服务等多个场景,每个场景都面临着不同的安全风险。
二
供应链风险详述
(一)供应链劫持风险
供应链劫持(也称投毒)是指攻击者通过篡改软件、硬件或服务的供应链环节(如开发工具、第三方库、更新包、外包组件、硬件、源码等),将恶意代码或后门植入合法产品中,从而在用户使用这些产品时实施攻击。其核心是利用供应链中上下游的信任关系,绕过直接防御,造成广泛且隐蔽的危害。
劫持主要有三大特点:
-
利用信任关系:攻击合法供应商,绕过用户对“可信来源”的依赖。
-
隐蔽性强:恶意代码与合法产品深度绑定,难以通过常规检测发现。
-
规模化危害:攻击可影响成千上万用户,甚至影响关键基础设施。
|
劫持环节 |
典型案例 |
应对方法 |
|
IDE开发工具链污染 |
Codecov供应链攻击(2021) |
1. 机密信息保护:采用密钥管理系统(KMS)对CI/CD流程中的凭证加密存储,禁止代码仓库明文存储密钥。 |
|
XcodeGhost事件(2015) |
||
|
直接源码污染攻击 |
SolarWinds攻击(2020) |
最小权限控制:实施网络分段隔离核心代码库,限制开发者仓库访问权限。 |
|
PHP源码后门事件(2021) |
||
|
软件存储库劫持 |
3CX供应链攻击(2023) |
来源验证:部署TUF(The Update Framework)协议,强制验证软件包哈希值与签名链。 |
|
传输劫持与捆绑分发 |
百度DNS劫持事件(2010) |
传输层保护:启用DNSSEC与HTTPS严格模式(HSTS),防御中间人攻击。 |
|
NotPetya勒索攻击(2017) |
||
|
硬件物流篡改 |
Supermicro硬件门事件(2018) |
物理安全:采用光学防伪标签+区块链溯源技术追踪硬件流通路径 |
|
开源组件投毒 |
npm event-stream(2018)攻击者通过社会工程接管维护权限,在加密钱包库中注入恶意flatmap-stream组件。 |
SCA(软件成分分析)工具扫描、依赖库版本监控。 |
|
Log4j2漏洞(2021) JNDI注入漏洞导致RCE,影响全球72%企业系统,CVSS评分10.0。 |
(二)敏感数据泄露风险
敏感数据泄露的原因多种多样,既包括被动的泄露,也包括主动的泄露行为。供应商在提供服务时可能合法获取企业数据(如订单、用户行为),但通过长期数据聚合分析,可推断出商业策略、用户画像等机密信息。
以下内容概述了近年来一些典型的由供应链安全问题引发的数据泄露事件。
|
场景 |
途径 |
典型案例 |
应对方法 |
|
供应商配置错误 |
服务商或用户因错误配置云存储、数据库或权限设置,导致数据公开暴露(如未加密的S3存储桶)。 |
Microsoft Power Apps 数据泄露(2021年):由于默认配置错误,38家机构的疫苗接种记录、员工社保号等敏感数据通过公开API暴露,攻击者无需认证即可访问。 |
1. 数据最小化原则、第三方数据接口权限管控。 2. 认证与加密:强制启用数据库访问认证(如Firebase实时数据库的读写权限控制),敏感数据存储采用AES-256加密。 |
|
iFax云存储密钥泄露(2021年):开发者将云存储密钥硬编码在APP中,导致50万用户传真文件被窃取,攻击者通过逆向工程直接获取密钥。 |
|||
|
供应商API漏洞利用 |
攻击者通过服务商开放的API接口漏洞(如未授权访问、注入漏洞)窃取数据。 |
Peloton用户数据泄露(2021年):API未授权访问漏洞导致用户运动轨迹、心率等隐私泄露。 |
1. 零信任架构:实施基于角色的细粒度访问控制(RBAC),限制API调用频率。 2. 动态鉴权:采用OAuth 2.0与JWT令牌替代静态密钥,定期轮换令牌。 |
|
LinkedIn数据泄露(2021年):未加密API暴露7亿用户信息,包括邮箱、电话,数据在黑市以5万美元标价出售。 |
|||
|
供应商遭受入侵 |
攻击者直接入侵第三方服务商内部系统,窃取其存储的客户数据。 |
Codecov供应链攻击(2021年):攻击者篡改CI/CD工具脚本,窃取客户AWS密钥,影响宝洁、哈佛大学等机构。 |
1. 供应商准入审计:要求供应商提供SOC 2合规证明,定期渗透测试报告。 2. 隔离与监控:通过微隔离技术限制第三方系统访问范围,部署UEBA检测异常数据外传。 |
|
Level One Robotics事件(2018年):因rsync服务器未限制访问,通用、丰田等车企157GB生产线数据遭窃。 |
|||
|
数据共享过度或滥用 |
企业过度授权第三方服务商访问敏感数据,或服务商滥用数据权限。 |
Facebook-Cambridge Analytica丑闻(2018年):第三方滥用数据接口收集8700万用户画像,用于政治操控。 |
1. 最小化原则:仅授权必要数据字段,如通过数据脱敏接口提供“去标识化”信息。 2. 动态水印:在共享数据中嵌入用户专属水印,追溯泄露源头。 |
|
某医院API暴露患者报告(2024年):开放API未校验身份,患者姓名、病例可被任意查询。 |
|||
|
第三方内部人员泄露 |
服务商内部员工或外包人员故意或无意泄露客户数据。 |
Waymo 自动驾驶数据泄露(2019年):Uber前工程师Anthony Levandowski在离职时从Waymo(谷歌旗下)窃取了超过14,000份机密文件(包括自动驾驶技术源代码),并通过第三方云服务转移数据,导致技术泄密。 |
1. 行为审计:部署DLP系统监控USB拷贝、云盘上传等高风险操作。 2. 权限动态回收:通过IAM系统实现“即时权限撤销”,员工离职后自动终止访问。 |
|
三星半导体技术泄密(2023年):员工窃取芯片设计文档,通过云盘传输给竞争对手。 |
|||
|
数据残留与未彻底删除 |
服务商在合同结束后未彻底清除客户数据,导致残留数据被后续用户访问。 |
Attunity 云数据残留(2019年):数据管理公司Attunity因未清理AWS云存储中的客户数据,导致微软、苹果等企业的数据库备份、密码和财务记录暴露长达数月。 |
1. 物理销毁:对硬盘使用消磁或钻孔处理,移动设备启用“安全擦除”功能。 2. 云资源生命周期管理:设置存储桶自动过期策略,禁止保留“测试数据”。 |
|
供应链攻击链延伸 |
攻击者通过入侵第三方服务商的软件更新或工具链,植入恶意代码以窃取数据。 |
Codecov 供应链攻击(2021年):代码覆盖率工具Codecov的Bash Uploader脚本被篡改,攻击者窃取客户在CI/CD环境中的凭证(如AWS密钥、数据库密码),影响数万家企业,包括Hashicorp和Procter & Gamble。 |
1.技术层:加密存储、API网关防护、日志全链路审计。 2.管理层:供应商安全评估、最小权限原则、数据分类分级。 |
(三)供应商自身系统安全
|
描述 |
典型场景 |
应对策略 |
|
供应商自身系统存在安全漏洞或管理问题,导致攻击者通过入侵供应商间接危害客户。 |
某教育系统供应商共同体平台存在漏洞,造成180000+条学生数据,其中包含学生学号、个人邮箱、姓名、学校等信息;800+条教师数据,其中包含教师姓名、个人邮箱、学校、办公电话,个人手机等信息泄露。 某智慧医疗服务平台存在漏洞,造成30+医院,1000+医务人员的姓名、手机号等信息泄露。 |
供应商准入安全评估。 供应商自身系统安全建设。 渗透测试,验证供应商防护能力 |
(四)供应商人员社工风险
|
类型 |
风险 |
应对方法 |
|
供应商驻场人员 供应商远程支持人员 供应商关键岗位人员 |
个人违规操作带来的风险: 1.非法外连、非法外传数据文档等 2.私自使用跳板 3.私自私搭的服务 4.私自开放相关的端口和系统 |
把供应商相关“人员”风险纳入到攻击面管理体系中,进行安全培训或社会工程攻击演练,协助用户处置最容易忽略且难以快速规避的人员风险。 |
|
个人终端被钓鱼等社工方式控制的风险: 1.个人终端中保存着账号密码 2.个人终端中保存着"机密"或"绝密"文件 3.个人终端存放了大量业务或生产数据 4.个人终端内存在曾被植入的病毒或木马 |
(五)供应链产品安全风险
|
风险类型 |
场景 |
应对策略 |
|
后门 |
供应商预留的,但是也可能别攻击者所发现并利用,主要包括: 系统存在预置的后门; 系统的默认缺陷(默认配置、默认口令); 系统预留的调试接口等。 |
软件成分分析与安全测试 严格供应商筛选与评估 |
|
漏洞 |
常见的软件、硬件安全漏洞 |
软件成分分析与安全测试 严格供应商筛选与评估 |
(六)供应链断供及合规风险
因供应商断供、地缘政治或合规问题导致关键组件无法获取。
|
场景 |
典型案例 |
应对策略 |
|
开源许可证变更导致法律风险 |
Redis商业公司于2024年3月宣布将开源协议从BSD变更为限制性更强的双重许可(RSALv2和SSPLv1),以阻止云厂商直接利用其代码提供商业服务。 |
多元化供应商、建立备品备件库、国产化替代预案。 |
|
地缘政治问题导致断供 |
俄乌冲突中某欧洲能源企业因俄罗斯供应商断供导致SCADA系统瘫痪。 |
技术自主创新、协议兼容性保障 |
|
供应商行为违反法律法规或行业标准,导致连带责任。 |
供应商使用盗版软件,客户因连带责任被起诉。供应商违反GDPR导致客户被罚款。 |
合同约束合规条款、定期供应商合规审查。 |
|
芯片断供 |
2022年,美国通过出口管制限制向中国出口高端芯片及制造设备(如ASML光刻机),导致华为等中国科技企业面临“卡脖子”困境。 |
多元化供应商、建立备品备件库、国产化替代预案。 |
三
供应链安全趋势
-
针对大模型的供应链攻击风险加剧 大模型供应链攻击的核心在于利用信任链缺口,通过篡改数据、模型或依赖组件实现恶意控制。比如攻击者通过Hugging Face等开源平台上传携带恶意代码的模型文件(如利用Pickle反序列化漏洞执行远程代码),或通过PyPI等包管理平台发布高仿冒依赖包(如“deepseeek”恶意包)进行供应链投毒。
-
大模型赋能供应链安全管理 包括供应商暴露面分析:利用大模型整合资产测绘、漏洞扫描和渗透测试,主动扫描指定组织,实现资产收集、暴露面识别、漏洞优先级评估和攻击面分析,提供精准全面的供应商安全分析;供应链安全管理:应用安全大模型管理开源和闭环软件库,结合知识图谱,处理软件供应链信息,实现从开发到运行的安全测试全流程,提供一站式智能风险管理。供应商安全能力评估:建立供应商网络安全能力评价体系,使用大语言模型自动化分析供应商提交的文档,进行安全能力自动化评估。
-
供应链安全正在经历从“被动防御”到“主动治理”的转变 随着政策的不断推进,供应链安全已不再仅仅是风险管控的问题,而成为企业参与全球竞争的重要战略资产。各国政策对供应链安全的要求也在逐步从“自主合规”向“强制穿透式管理”演变。相应的治理模式也由原来的“事后补救”转变为“全生命周期管控”。
-
供应链安全风险“量化评价”是安全治理的基础 重点依据《GB/T 20984-2022 信息安全风险评估方法》、《GB/T 30279—2020 网络安全漏洞分类分级指南》相关标准、《供应链安全·软硬件供应商网络安全能力评价方法》等。结合供应商的业务连续性、暴露面风险、风险情报、安全合规等数据,对供应商安全进行持续量化评价。
四
结语
在高度互联的数字生态中,没有任何组织是一座孤岛。供应链安全已从“可选项”变为“生存项”,唯有通过技术加固、流程重塑与生态协作,才能将风险关口从“事后灭火”前移至“源头可控”。
原文始发于微信公众号(锦岳智慧):供应链安全风险全景:从风险识别到韧性防御
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论