作者： Hailey Lynne McKeefry

全球幾乎所有行業(yè)都成了網(wǎng)絡(luò)犯罪分子的目標(biāo)。潛在收益包括金錢、計(jì)算能力以及企業(yè)和客戶數(shù)據(jù)。電子產(chǎn)品供應(yīng)鏈尤其脆弱，因此網(wǎng)絡(luò)安全應(yīng)該成為我們大家的首要任務(wù)之一。

舉個(gè)例子：2025 年 2 月，臺(tái)灣印刷電路板（PC 板）制造商 Unimicron 遭到 Sarcoma 勒索軟件攻擊 ^1^ 。Sarcoma 是一個(gè)勒索軟件組織，在 2024 年 7 月至 2025 年 3 月期間共計(jì)發(fā)動(dòng)了 83 起網(wǎng)絡(luò)攻擊（圖 1） ^2^ 。作為 Unimicron 入侵行動(dòng)的一部分，網(wǎng)絡(luò)犯罪分子公布了據(jù)稱在入侵過程中從該公司系統(tǒng)中竊取的文件樣本，并威脅如果該公司不支付贖金，他們將泄露所有 377 GB 的 SQL 文件和公司數(shù)據(jù)文檔。

圖 1：Sarcoma 已向全球各地的組織發(fā)起勒索軟件攻擊，其中包括制造業(yè)和科技公司。目前，攻擊主要集中在北美和歐洲。（圖片來源：Ransomware.live）

問題日益嚴(yán)重

Cybersecurity Ventures 的一份 2025 年報(bào)告預(yù)測(cè)，[到 2025 年，網(wǎng)絡(luò)犯罪每年造成的損失將達(dá)到 10.5 萬億美元]，遠(yuǎn)高于 2015 年的 3 萬億美元 ^3^ 。據(jù) Gartner 的一位消息人士估計(jì)，僅針對(duì)軟件供應(yīng)鏈的攻擊造成的損失就將從 2023 年的 460 億美元上升到 2031 年的 1380 億美元 ^4^ 。

入侵損失也在增加。IBM 研究估計(jì)，網(wǎng)絡(luò)安全入侵的平均損失已達(dá) 488 萬美元 ^5^ 。這僅包括硬損失，而不考慮潛在的軟損失，例如品牌侵蝕。

分析人士和專家指出了網(wǎng)絡(luò)犯罪迅速增加的幾種原因：

• 組織越來越依賴軟件： 在電子行業(yè)，各個(gè)公司過去依賴于各種自主開發(fā)的應(yīng)用程序，這形成了一個(gè)個(gè)保護(hù)孤島。現(xiàn)在，大多數(shù)組織都轉(zhuǎn)向第三方軟件和開源應(yīng)用程序，這給不法分子提供了注入惡意代碼并制造災(zāi)禍的機(jī)會(huì)（圖 2）。
• 員工越來越多地遠(yuǎn)程辦公或混合辦公： 隨著越來越多的員工在家或不同地點(diǎn)工作，潛在攻擊面的增加也帶來了漏洞。
• 物聯(lián)網(wǎng) (IoT) 和云的使用正在激增： 雖然物聯(lián)網(wǎng)設(shè)備和云基礎(chǔ)設(shè)施很有用，但它們也為潛在攻擊者提供了更多的切入點(diǎn)。
• 攻擊者變得越來越老練： 國(guó)家支持的團(tuán)體和勒索軟件攻擊者使用的技術(shù)越來越精細(xì)，可以攻擊各種組織。

圖 2：圖示為一個(gè)概覽，從中可以看到開源依賴關(guān)系中發(fā)現(xiàn)的惡意組件數(shù)量不斷增加。（圖片來源：Gartner）

落實(shí)安全第一的四種方法

攻擊者越來越聰明，因此組織需要時(shí)刻保持警惕。網(wǎng)絡(luò)安全就像一場(chǎng)大型冒險(xiǎn)游戲：組織圍繞數(shù)據(jù)和公司系統(tǒng)構(gòu)建安全措施，而壞蛋則尋找新的方法來滲透系統(tǒng)。公司應(yīng)該定期評(píng)估其程序和技術(shù)，以領(lǐng)先于攻擊者，或者至少使之具有足夠的挑戰(zhàn)性，以便他們轉(zhuǎn)向其他目標(biāo)。門戶網(wǎng)站和網(wǎng)絡(luò)必須提供安全保護(hù)并進(jìn)行備份。無論是數(shù)字文件還是物理文件，都需要受到保護(hù)。

網(wǎng)絡(luò)安全保險(xiǎn)必須納入預(yù)算。碰碰運(yùn)氣或許挺吸引人，但與入侵損失相比，保險(xiǎn)成本微不足道。這種保險(xiǎn)可幫助組織收回處理入侵的法律費(fèi)用和成本。它甚至可能補(bǔ)償因失去客戶或工人生產(chǎn)力而造成的損失。根據(jù) Embroker 的數(shù)據(jù)，到 2024 年，企業(yè)每年平均在網(wǎng)絡(luò)保險(xiǎn)上花費(fèi)為 1,200 至 7,000 美元，中位數(shù)費(fèi)用約為每年 2,000 美元 ^6^ 。正如大家所料，網(wǎng)絡(luò)保險(xiǎn)的價(jià)格一直在波動(dòng)，并在 2022 年達(dá)到高點(diǎn)。自此以后，這些成本一直在下降。

另一個(gè)重要策略是組織安全審計(jì)。道德黑客或“白帽”黑客可以執(zhí)行滲透測(cè)試，以確定當(dāng)前系統(tǒng)的漏洞所在，并在黑帽黑客發(fā)現(xiàn)漏洞之前找到漏洞。

最后，要確保您的組織了解投資網(wǎng)絡(luò)安全的重要性。這些努力應(yīng)該列為預(yù)算之一，以便逐年增加投資。

現(xiàn)代電子供應(yīng)鏈的現(xiàn)實(shí)情況是，組織遍布全球，其面臨的威脅也同樣遍布全球。入侵以及時(shí)間、金錢、聲譽(yù)和合規(guī)風(fēng)險(xiǎn)的成本持續(xù)攀升，并且可能會(huì)持續(xù)下去。組織必須優(yōu)先考慮風(fēng)險(xiǎn)防范并對(duì)安全進(jìn)行投資。只要給予重視，OEM 就可以從供應(yīng)鏈應(yīng)用中獲益，從而提高可見性、彈性并緩解風(fēng)險(xiǎn)，同時(shí)避免壞蛋挑釁的風(fēng)險(xiǎn)。

參考文獻(xiàn)

1：[https://www.cm-alliance.com/cybersecurity-blog/february-2025-major-cyber-attacks-ransomware-attacks-data-breaches]

2：[https://www.ransomware.live/group/sarcoma]

3：[https://cybersecurityventures.com/cybersecurity-in-2025-challenges-risks-and-what-leaders-must-do/]

4：[https://www.gartner.com/doc/reprints]

5：[https://www.ibm.com/reports/data-breach]

6：[https://www.embroker.com/blog/cyber-insurance-cost/]