江湖有云，不怕神一樣的對手，就怕豬一樣的隊友。這句話放在網絡安全領域，就會變成：不怕神一樣的黑客，就怕靠不住的供應商。

這可不是在夸大其詞，2025年，供應鏈攻擊越發猖獗，給企業造成了巨大損失。Verizon發布的《2025數據泄露調查報告（DBIR）》顯示，過去一年中30%的數據泄露事件與第三方直接相關，軟件漏洞、云服務配置錯誤、合作伙伴權限濫用成為主要導火索。

既要防住從“正面陣地”進攻的黑客，還要防住從“友軍陣地”（供應商）偷襲而來的攻擊者，這一屆企業的壓力確實有點大……

供應鏈攻擊為何難以防范？

想要防住供應鏈攻擊，先要弄清供應鏈攻擊為何難以防范。其原因有四：

1.供應鏈生態系統復雜，擴大企業網絡暴露面

現代企業的供應鏈往往是一個錯綜復雜的生態系統，涉及到大量供應商、合作伙伴、第三方服務商和外包商等。這些外部實體可能擁有訪問企業關鍵系統、數據或基礎設施的權限，導致企業的網絡暴露面間接增大。由于企業無法完全控制外部供應商的安全防護措施，攻擊者可以從供應鏈中的任意環節滲透進來，攻擊入口更多，隱蔽性更強，讓企業難以防范。

2.對供應商的“過度信任”，成為安全邊界新漏洞

許多企業在與供應商合作時，默認這些外部實體是可信的。由于業務需求，企業往往需要授予它們較高的訪問權限。一旦攻擊者竊取了這些賬戶憑證，便能輕松繞過企業的安全防線，直接訪問企業內網，利用高權限大肆進行竊取數據、安裝惡意軟件等非法操作。

3.難以監控第三方訪問，識別并阻斷風險行為

VPN是供應商遠程訪問企業內網的主要方式。由于VPN普遍存在“過度信任、靜態授權”的問題，企業無法對來自第三方的訪問進行動態監控，導致來自供應鏈的非法訪問難以及時發現和阻斷，攻擊者可以在企業內網橫向移動，給企業造成巨大損失。

4.安全水平參差不齊，第三方員工難以管控

不同供應商的安全水平參差不齊，尤其是中小型供應商往往沒有能力構建完善的網絡安全和數據安全防護體系，為員工提供安全防護，管控員工的行為。攻擊者可以將安全水平弱的供應商作為突破口，通過入侵第三方員工終端設備、收買第三方員工竊取機密等方式，完成對目標企業的攻擊。

芯盾時代零信任業務安全解決方案

面對難纏的供應鏈攻擊，企業需要改變原有網絡安全架構，以“身份”為核心構建動態化、隨身化、微粒化的安全邊界，在每一家供應商的“陣地”前加筑一道安全防線。同時，落實“最小化授權”原則，對每一次訪問實施細粒度的動態訪問控制，對供應商員工的每一次操作進行精準管控，應對攻擊者的“偷襲”。

芯盾時代作為領先的零信任業務安全產品方案提供商，率先探索出成熟的零信任架構建設落地路徑，打造了豐富的零信任安全產品線。基于用戶身份與訪問管理平臺（IAM）、零信任業務安全平臺（SDP）等產品，芯盾時代打造了零信任業務安全解決方案，能夠幫助企業構建零信任安全架構，強化對供應商的管控，有效防范供應鏈攻擊。

借助芯盾時代零信任業務安全解決方案，企業能夠在業務應用低改造、甚至0改造的情況下，一站式實現以下功能：

1.落實最小化授權，實施多因素認證

芯盾時代IAM具備全面的身份管理能力，能夠為供應商、合作伙伴、第三方服務商和外包商建立對應的身份，實現對不同身份的差異化管控。IAM支持RBAC、ABAC、ACL等多種權限管理模型，權限管理能力細至URL，幫助企業落實“最小化授權”，精準管控數據資源的訪問權限，杜絕越權訪問。

借助芯盾時代IAM，企業能夠一站式實施多因素認證，為供應商員工提供短信驗證碼、動態口令、App掃碼、指紋識別等認證方式，提升身份認證的安全性和便捷性，為企業把好網絡“入口關”，避免身份憑證泄露，有效防范網絡釣魚。

2.收斂資源暴露面，實施動態訪問控制

芯盾時代SDP采用流量代理和SPA單包授權技術，由網關統一代理業務應用訪問流量，同時對所有連接網關的設備進行預認證，不通過認證不開放端口，實現業務應用和網關雙重“隱身”。借助芯盾時代SDP，企業能夠有效收斂資源暴露面，同時防范來自供應鏈的非法訪問，不與攻擊者建立連接，避免系統中的漏洞被攻擊者利用。

借助芯盾時代SDP的動態訪問控制能力，企業能夠結合登錄時間、設備狀態等上下文信息，靈活設置訪問控制策略，當攻擊者進行下載機密文件、在非工作時間訪問敏感數據、執行可疑命令時，自適應執行阻斷、權限收斂等控制策略，及時阻斷非法訪問，避免攻擊者在內網橫移。

3.強化終端安全，管控員工操作行為

憑借終端威脅態勢感知技術，SDP客戶端能夠識別終端設備是否安裝了殺毒軟件，是否存在遠程控制軟件、模擬器、程序雙開、攻擊框架、Root/越獄等風險，是否加入指定域控，是否安裝了操作系統補丁。在訪問過程中，客戶端持續檢測終端安全態勢、用戶的操作行為，為安全控制中心提供終端側的風險信息。

SDP客戶端內置安全沙箱，企業可以在終端設備中構建與本地空間完全隔離的安全工作空間，實現“數據不落地”，并實施禁止復制、禁止截屏、禁止打印、外發審批等行為管控，阻斷數據外發。在軟件供應商、外包人員遠程訪問內網的場景下，SDP能夠對終端數據進行保護，有效防止數據泄露。

借助動態數據脫敏功能，企業可以對業務應用中的手機號、銀行卡、身份證號等敏感數據進行動態脫敏。針對Web應用，芯盾時代SDP可以在無改造的情況下為Web頁面添加水印，對用戶進行安全教育、安全震懾和安全追溯，降低拍照截屏外發風險。

隨著數字化轉型持續深入，供應鏈安全已經成為企業安全的重要組成部分，而零信任安全理念為應對這一挑戰提供了有效解決方案。芯盾時代零信任業務安全解決方案，能夠幫助企業顯著提升供應鏈的整體安全防護能力，為供應鏈的健康和穩定奠定堅實基礎。