OEM 必须投资供应链网络安全最佳实践

作者： Hailey Lynne McKeefry

全球几乎所有行业都成了网络犯罪分子的目标。潜在收益包括金钱、计算能力以及企业和客户数据。电子产品供应链尤其脆弱，因此网络安全应该成为我们大家的首要任务之一。

举个例子：2025 年 2 月，台湾印刷电路板（PC 板）制造商 Unimicron 遭到 Sarcoma 勒索软件攻击 ^1^ 。Sarcoma 是一个勒索软件组织，在 2024 年 7 月至 2025 年 3 月期间共计发动了 83 起网络攻击（图 1） ^2^ 。作为 Unimicron 入侵行动的一部分，网络犯罪分子公布了据称在入侵过程中从该公司系统中窃取的文件样本，并威胁如果该公司不支付赎金，他们将泄露所有 377 GB 的 SQL 文件和公司数据文档。

图 1：Sarcoma 已向全球各地的组织发起勒索软件攻击，其中包括制造业和科技公司。目前，攻击主要集中在北美和欧洲。（图片来源：Ransomware.live）

问题日益严重

Cybersecurity Ventures 的一份 2025 年报告预测，[到 2025 年，网络犯罪每年造成的损失将达到 10.5 万亿美元]，远高于 2015 年的 3 万亿美元 ^3^ 。据 Gartner 的一位消息人士估计，仅针对软件供应链的攻击造成的损失就将从 2023 年的 460 亿美元上升到 2031 年的 1380 亿美元 ^4^ 。

入侵损失也在增加。IBM 研究估计，网络安全入侵的平均损失已达 488 万美元 ^5^ 。这仅包括硬损失，而不考虑潜在的软损失，例如品牌侵蚀。

分析人士和专家指出了网络犯罪迅速增加的几种原因：

• 组织越来越依赖软件： 在电子行业，各个公司过去依赖于各种自主开发的应用程序，这形成了一个个保护孤岛。现在，大多数组织都转向第三方软件和开源应用程序，这给不法分子提供了注入恶意代码并制造灾祸的机会（图 2）。
• 员工越来越多地远程办公或混合办公： 随着越来越多的员工在家或不同地点工作，潜在攻击面的增加也带来了漏洞。
• 物联网 (IoT) 和云的使用正在激增： 虽然物联网设备和云基础设施很有用，但它们也为潜在攻击者提供了更多的切入点。
• 攻击者变得越来越老练： 国家支持的团体和勒索软件攻击者使用的技术越来越精细，可以攻击各种组织。

图 2：图示为一个概览，从中可以看到开源依赖关系中发现的恶意组件数量不断增加。（图片来源：Gartner）

落实安全第一的四种方法

攻击者越来越聪明，因此组织需要时刻保持警惕。网络安全就像一场大型冒险游戏：组织围绕数据和公司系统构建安全措施，而坏蛋则寻找新的方法来渗透系统。公司应该定期评估其程序和技术，以领先于攻击者，或者至少使之具有足够的挑战性，以便他们转向其他目标。门户网站和网络必须提供安全保护并进行备份。无论是数字文件还是物理文件，都需要受到保护。

网络安全保险必须纳入预算。碰碰运气或许挺吸引人，但与入侵损失相比，保险成本微不足道。这种保险可帮助组织收回处理入侵的法律费用和成本。它甚至可能补偿因失去客户或工人生产力而造成的损失。根据 Embroker 的数据，到 2024 年，企业每年平均在网络保险上花费为 1,200 至 7,000 美元，中位数费用约为每年 2,000 美元 ^6^ 。正如大家所料，网络保险的价格一直在波动，并在 2022 年达到高点。自此以后，这些成本一直在下降。

另一个重要策略是组织安全审计。道德黑客或“白帽”黑客可以执行渗透测试，以确定当前系统的漏洞所在，并在黑帽黑客发现漏洞之前找到漏洞。

最后，要确保您的组织了解投资网络安全的重要性。这些努力应该列为预算之一，以便逐年增加投资。

现代电子供应链的现实情况是，组织遍布全球，其面临的威胁也同样遍布全球。入侵以及时间、金钱、声誉和合规风险的成本持续攀升，并且可能会持续下去。组织必须优先考虑风险防范并对安全进行投资。只要给予重视，OEM 就可以从供应链应用中获益，从而提高可见性、弹性并缓解风险，同时避免坏蛋挑衅的风险。

参考文献

1：[https://www.cm-alliance.com/cybersecurity-blog/february-2025-major-cyber-attacks-ransomware-attacks-data-breaches]

2：[https://www.ransomware.live/group/sarcoma]

3：[https://cybersecurityventures.com/cybersecurity-in-2025-challenges-risks-and-what-leaders-must-do/]

4：[https://www.gartner.com/doc/reprints]

5：[https://www.ibm.com/reports/data-breach]

6：[https://www.embroker.com/blog/cyber-insurance-cost/]