为何企业无法忽视软件供应链攻击

最后更新：2025年5月5日

关键要点

• 过去几年针对第三方软件供应链的攻击者数量急剧增加
• 目前仅1/3企业具备防御软件供应链威胁的能力
• 近期公开案例显示供应链攻击会造成财务、运营和声誉的多重损失
• 企业必须与供应商建立责任共担机制并遵循严格安全规范

软件供应链攻击风险上升

Ivanti《2025年网络安全趋势报告》显示，现代企业平均使用112个SaaS应用，每个应用包含150个依赖项（其中90%为间接依赖）。2024年75%的软件供应链遭遇攻击，但48%的企业尚未识别自身供应链中最脆弱的组件。

常见攻击类型

1. 上游服务器攻击：攻击者入侵代码仓库等"上游"系统注入恶意负载
2. 中游攻击：针对软件开发工具等中间系统
3. 依赖混淆攻击：诱骗开发者下载恶意依赖项
4. 代码签名证书攻击：篡改数字签名验证机制
5. CI/CD基础设施攻击：污染自动化开发管道

典型案例

• Okta社工攻击(2023)：通过IT服务台社工攻击导致数千客户数据泄露
• Kaseya勒索软件(2021)：利用6个零日漏洞通过更新传播，影响2000家企业
• Codecov CI/CD入侵(2021)：恶意脚本潜伏3个月影响2.9万客户

防御建议

1. 严格供应商管理：

   • 要求ISO 27001等安全认证
   • 审查软件物料清单(SBOM)
   • 实施安全评估问卷(SAQ)

2. 持续监控依赖项：

   • 采用自动化威胁检测工具
   • 实施实时性能监控
   • 部署自动修复解决方案

3. 建立供应商沟通机制：

   • 定期同步安全更新
   • 共享漏洞修补信息
   • 建立联合应急响应流程

“供应链安全需要供应商和客户共同承担责任，仅依靠单方防御的时代已经结束。” —— Ivanti网络安全研究报告