據路透社和《華盛頓郵報》報道，美國知名IT公司SolarWinds旗下的Orion網路監控軟體更新伺服器遭駭客入侵併植入惡意程式碼，本次供應鏈攻擊事件，波及範圍極廣，包括政府部門，關鍵基礎設施以及多家全球500強企業，有關部門預估此次事件造成的影響尤為巨大。

SolarWinds是美國本土知名IT公司，主要做網路安全管理軟體產品，客戶群體超過30萬+，有來自許多中小企業，也有全球500強企業。在這30w+客戶中，大約有33,000名是Orion客戶，這其中大約有18,000名客戶安裝了帶有後門的 Orion 軟體。包括思科、英特爾、英偉達、貝爾金、VMware 等在內的私企網路，也都被發現感染了同樣的惡意軟體。同時SolarWinds稱該入侵也損害了其Microsoft Office 365帳戶。美國政府認為，這次攻擊的主要目標是政府機構。據稱受害部門包括美國國防部、財政部、國土安全部、商務部和國務院。想要揭開駭客攻擊事件的全面影響，可能要花費相當長的時間。此外美聯社的早前報道指出，企業或很難判斷是否已徹底將惡意軟體從其網路中清除。

供應鏈攻擊屬於源頭之害，這近幾年也越來越肆虐猖狂，其危害之大，不得不令人重視。其可導致資訊洩露、彈窗攻擊和被遠端控制，資料遭竊取或篡改等危害；軟體產品若存在危害程式碼，可導致使用者遠端登入的資訊遭到洩露。對於供應鏈安全，直接關係到上下游關係鏈，產生的危害影響可想而知。本次SolarWinds事件作為近年來最嚴重的供應鏈攻擊事件之一，涉及面廣，影響大，更應該敲響人們對於供應鏈安全的警鐘。

那麼有人會問，供應鏈攻擊事態如此嚴峻，就沒有什麼措施進行防控嗎？是的，按理說隨著科技逐年進步，網路各道攻防關卡應該是越來越嚴密。針對於供應鏈受到攻擊這樣的事件，最危險的源頭就是人為操作不當。“以人為本”是保衛供應鏈的關鍵。威瑞森最新《資料洩露調查報告》揭示，去年的資料洩露事件中，有93%之多都出現了網路釣魚的身影。另外，以粗心大意的員工為主導的內部人威脅，導致了28%的資料洩露事件發生。

我國等保2.0和《網路安全法》相關規定，制定網路安全第一責任人制度，誰主管，誰負責、誰運營，誰負責。定期對從業人員進行網路安全教育、技術培訓和技能考核，依法履行安全保護義務。

對於供應鏈安全，上游的產品供應方應該在產品運維和資料保護等方面加強安全管理，提高員工安全意識，避免被攻擊者釣魚攻擊或者利用社工突破。保證產品的完整性，確保在給下游分發的軟硬體/工具/元件等不被植入、篡改、偽造或者替換，並且確保在分發傳遞中的資訊不被洩露給未授權者。同時在產品的設計、研發、生產、運維等生命週期中提早加入對於安全方面的考量。

在軟體開發前要做好各環節和物理環境的相關安全審計，開發完成時做好程式碼簽名，產品交付後同樣需要再行重複安全審查程式，確保萬無一失。

對於政府相關部門，對於涉及到國家安全和國民經濟命脈的關聯領域，如軍工、電力電網、電信、航空運輸和石油石化等，則需要加強對上游供應商釋出的產品/補丁的審查，擴大審查範圍，強化審查流程，以保障國民經濟生活安全。

所以，這就是看起來既簡單卻又是最重要的人為攻防方法，經過特定網路安全培訓的員工才是能力加持的員工。經過安全教育的人在重要的節點做出正確決策，你才會有在虛擬的安全及能力鏈中保護自家公司及上下游公司的能力。