企业基础设施安全：CISO如何防御基于情报收集的供应链攻击

现代企业所依赖的共享服务、统一身份认证层以及各类互联的服务提供商，已经不仅仅是便利的工具，它们正悄然转变为犯罪团伙乃至国家级黑客组织首选的渗透路径。这种依赖关系的相互重叠，构成了当今CISO（首席信息安全官）必须直面的一项核心安全特征。

Part 01 共享服务带来的安全困境

威胁行为体始终在寻找最具优势的攻击入口。近期安全研究人员揭示的两种旨在长期获取情报的攻击活动，其攻击路径就直接指向了企业内部的关键节点。一个严峻的现实是：许多企业早已身处攻击者的情报收集路径之上。它们或许并非直接攻击目标，但由于使用了与攻击者已控制的相同基础设施，便自然而然地成为了整个攻击版图的一部分。CISO面临的挑战，在于如何确保自己的企业不会仅仅因为网络连接的方式，就成为他人的情报通道。

Part 02 攻击路径的聚合效应

两起独立的攻击活动，正在通过相同的运营依赖项产生交集。这种重叠并非有意的协同攻击，而是现代基础设施集中化访问模式的必然副产品。当企业所有流量都经由少数几个共享服务、统一身份认证层和互联供应商传输时，攻击者无需彼此协调，就能通过相同的入口实施入侵。

典型的这类攻击面包括：

• 电信路由系统
• 云服务相邻资源
• 托管服务通道
• 身份联邦体系

这些企业赖以运转的“连接组织”，同样被攻击者用来监控认证流量、窃取数据以及维持长期访问权限——全程无需直接接触目标企业。当执行不同任务的黑客通过相同的依赖项发起入侵时，暴露出的是一种结构性的安全缺陷。由于这些依赖项具有高度共享性和不可避免性，问题的核心已不在于单个攻击活动本身，而在于允许攻击者在企业上游长期潜伏的基础架构设计。

Part 03 商业间谍软件的通道化威胁

使用Predator间谍软件（属于受制裁的Intellexa联盟）的犯罪组织，其活动范围已覆盖十余个国家，即便是美国的制裁也未能阻止其蔓延。该组织的攻击目标高度精准，主要锁定记者、活动人士、政界人士、人权捍卫者、政府雇员及承包商等高价值人群。这些目标所掌握的信息价值，远远超过了其个人设备本身。

Predator的攻击手法呈现出专业化的演进趋势：

• 单点击链接攻击
• 零点击漏洞利用链
• 网络流量劫持
• 持久性设备控制

作为政府级的商业间谍平台，Predator这类能够实现设备级入侵的工具，最终会演变为企业级的重大风险。一旦该软件被部署，攻击者就能在上游截获企业的数据流、访问认证系统和服务商网络，形成持续性的监控能力。其危害不仅在于入侵个体设备，更在于危及其受害者所登录的系统、所经过的网络以及所依赖的服务提供商——这些恰恰是企业运营所仰仗的共享基础设施。

Part 04 国家背景的电信网络渗透

2026年2月，新加坡披露高级网络间谍组织UNC3886成功入侵了该国四大电信运营商（Singtel、StarHub、M1和Simba）。攻击者利用了0Day漏洞、Rootkit和高级持久化技术，长期控制了骨干基础设施及网络数据。

这一事件揭示了一个关键问题：当电信网络本身成为一个实时的信号情报收集点时，攻击者无需再直接入侵目标环境，只需从其依赖的通信链路中即可获取信息。尽管新加坡方面并未明确指出幕后支持者，但行业分析普遍将UNC3886与中国关联。然而，比具体归因更重要的是，这种访问具备了上游性、持久性和结构性嵌入的特征。

Part 05 CISO的应对策略

当前的威胁形势已超出理论探讨范畴，企业需要立即采取可量化的应对措施。

1. 依赖项风险评估

• 从共享依赖项的视角重新评估整体风险，认识到内部资产仅是攻击面的一部分。
• 将电信运营商、云服务商、MSP/MSSP（托管/安全服务提供商）以及身份认证通道纳入安全可见性管理范畴。
• 将上下游合作伙伴视为威胁活动面的活跃组成部分。

2. 供应链安全强化

• 要求电信和云服务提供商提供明确的安全合规证明。
• 降低对非自身可控基础设施的默认信任级别。
• 采用“已失陷”假设来设计关键认证流程。

3. 检测体系升级

• 将检测重点转向那些低噪声、旨在长期驻留的情报收集活动特征。
• 将基于威胁情报驱动的风险评估纳入常规安全治理架构。
• 加强会话层安全：预设令牌窃取和身份冒充的防御场景。

4. 保险策略调整

• 新加坡电信事件成为一个转折点，预计网络保险条款将明确涵盖骨干网遭受APT（高级持续性威胁）长期驻留的风险。
• 相关保费可能会显著上涨，未对关键供应商进行安全审核的企业可能面临续保被拒。

Part 06 战略现实

商业犯罪组织与国家级黑客正在利用相同的现代基础设施依赖关系展开活动，这种重叠已成为当前企业运营环境的决定性特征。对于CISO而言，核心问题已不再是“我的企业是否会遭到直接攻击”，而是“我所依赖的基础设施是否早已成为他人的情报收集平台”——并且，我们很可能对此浑然不觉。

面对这种新型的、基于基础设施的情报收集威胁，传统的边界防御思路已显不足。将安全视野扩展到整个供应链和依赖项，在假设关键节点可能已失陷的前提下重构防御体系，是当下每一位安全负责人必须思考的课题。更多关于安全防御与基础设施运维的深度讨论，欢迎在云栈社区（https://yunpan.plus ）与广大技术同仁交流。

参考来源：
The espionage reality: Your infrastructure is already in the collection path
https://www.csoonline.com/article/4143390/the-espionage-reality-your-infrastructure-is-already-in-the-collection-path.html