为什么供应链攻击可以来自一台咖啡机？

你可以将自己全副武装，配备最高级安全防护装备以抵御非法入侵，但是，你能保证你团队中的其他成员和你一样强大、谨慎且坚不可摧吗？

这就是我们常说的供应链攻击中会出现的问题，不同于传统的网络攻击直接侵入你的个人设备，新时代的黑客会转而攻向你的队友（即你的设备和软件服务供应商），且瞄准的还是某个最薄弱的队友，以此避开你的防御城墙进到内部。窃取的东西，可以是你个人的敏感信息，商业机密数据和客户的联系方式。在信息技术迅速运转的今天，我们都清楚这些数据的非凡意义。

其实整个攻击的过程并非有多么复杂，但却攻其不备，出其不意。你也许只是在公司安装了一台新的智能咖啡机，以供员工在繁忙的工作时，从咖啡迷人的香气中获得一刻歇息。但没有料到的是，仅仅几个星期后，公司系统就遭到了恶意软件的侵扰，即使重新安装所有软件也无济于事，直到最终发现，罪魁祸手是那台智能咖啡机，它没有被连接到某个独立的无线网络，而是加入了整个公司的网络线路，因此，当黑客侵入智能咖啡机时，木马病毒就能搭载这条与公司相连的线路对内部系统进行控制。

读至此，也许你会想着只要从外部减少对这些第三方智能机器的使用，就能够从根本上避开风险。然而，有时供应链攻击却存在于现有的软件更新中。例如，你的公司通过某个软件平台安装各类服务程序，员工日常打卡程序，客户信息存储程序，或是公司项目管理程序等。这些木马病毒就躲藏在软件更新的服务器里，一旦你点击更新，就如同打开了一道闸门，使这些病毒趁机侵入你的设备。

那么，你应当如何采取有效的应对措施。

对员工定期的培训是必须的。最常见的网络攻击通过电子钓鱼邮件，使这些邮件的发送者看起来像是公司熟悉的人，但却在与邮件往来中遭受内部信息的窃取。因而，请花时间指导你的员工如何识别潜在的诈骗邮件或链接，以及报告可疑的网络活动。一些企业会建立起“零信任”防范框架，即默认所有的网络活动请求均为恶意，只有经过严格的审查，才会同意将这些流量请求放入公司的内部网络。多重身份验证程序虽然操作起来繁琐，却能有效阻止网络犯罪，阻止未授权的网络访问。

一个好的忠告是，你应当摒弃侥幸的心态，而时刻警醒被攻击的严重后果。数据泄漏不仅可能令你的企业面临巨额罚款，也会对声誉带来难以挽回的影响。在网络环境动荡的时代下，再多的网络预防措施也从不为过。