熱門資訊> 正文
供應鏈的風(險)還是吹到了網絡安全:Zscaler因Salesforce發生數據泄露 飛天誠信:全棧自研降風險
2025-09-02 16:34
- Zscaler(ZS) 0
- 賽富時(CRM) 0
- 納斯達克(NDAQ) 0
Zscaler是一家總部位於美國加利福尼亞州的網絡安全企業,成立於2008年,並於2018年在納斯達克上市。其核心產品Zscaler Internet Access和Zscaler Private Access通過軟件即服務(SaaS)模式為企業提供零信任架構的雲安全解決方案,替代傳統本地安全設備。截至2025年6月9日,公司市值超過466億美元,服務覆蓋全球8600多家企業客户和4700萬用户,日均處理超5000億筆安全事務。
近日,Zscaler發佈公告稱,其客户數據因Salesforce實例遭受供應鏈攻擊而泄露,事件源頭為第三方銷售自動化平臺Salesloft Drift。Zscaler在公告中表示:「未經授權的行為者獲取了包括Zscaler在內客户的Salesloft Drift憑證」,這些憑證允許攻擊者有限訪問Zscaler Salesforce信息,包括姓名、商業郵箱、職位、電話號碼、區域信息、Zscaler產品許可及部分支持案例內容。Zscaler強調,泄露僅限於Salesforce實例,並未影響Zscaler產品、服務或基礎設施。
事件根源在於Salesloft Drift的供應鏈安全問題。Zscaler指出,攻擊者通過社會工程手段(vishing)誘使員工將惡意OAuth應用與公司Salesforce實例關聯,從而獲得訪問憑證。Salesloft Drift與Salesforce深度集成,使得一旦OAuth令牌被濫用,攻擊者能夠批量導出敏感數據。
事件發生后,Zscaler迅速採取多項補救措施,包括撤銷所有Drift集成訪問權限、輪換API令牌、加強客户支持身份驗證、開展第三方供應商風險評估等。Salesloft已禁用與Salesforce受影響的集成,並委託Mandiant進行深入調查。Mandiant是一家專注於網絡威脅情報與防禦解決方案的美國網絡安全公司,成立於2004年,曾參與調查多起國際重大網絡安全事件,2022年被谷歌全資收購。
此外,Zscaler建議客户立即檢查與Drift相關的所有第三方集成實例,撤銷或更換憑證,並監控異常活動,以降低潛在威脅。Zscaler警告稱,儘管當前尚未發現信息被濫用,但「客户應保持高度警惕,防範可能的網絡釣魚和社會工程攻擊」。
Salesloft 也發佈公告稱,初步調查結果顯示,威脅行為者的主要目標是竊取憑證,特別是AWS訪問密鑰、密碼(口令)以及與Snowflake相關的訪問令牌等敏感信息。Snowflake Inc是一家成立於美國特拉華州的雲計算公司,2020年在紐交所上市,2025年第一季度營收達10.4億美元。其雲原生平臺為數據工程、數據倉庫等場景提供統一管理與分析服務,覆蓋全球22個公共雲區域,客户企業超過4000家。2024年,Snowflake曾經發生數據泄露事件,網絡犯罪分子利用被盜的數據工程師賬號竊取了數百家世界頂級公司的客户數據,包括Ticketmaster(全球性票務服務公司)的5.6億條記錄、Advance Auto Parts(知名汽車零部件銷售商)的7900萬條記錄等。
此次事件凸顯,即便是全球頂級網絡安全公司,也難以完全規避第三方供應鏈攻擊風險。Zscaler警告,「供應鏈攻擊可能導致敏感數據大規模暴露,企業不能掉以輕心」。
在數字時代,沒有誰能獨善其身。真正的安全感,不是來自對巨頭的盲目崇拜,而是把「供應鏈焦慮」轉化為「內生安全力」——用更少的依賴、更強的身份、更透明的治理,把安全的主動權握在自己手里。
飛天誠信在身份認證領域深耕二十余年,構建了「雲、端、芯」全鏈條自主知識產權技術體系。動態令牌認證系統成為業內首套實現「全棧安全二級」的動態令牌認證系統類產品。智能密碼鑰匙、智能IC卡、動態令牌三大品類身份認證終端產品均通過商用密碼產品二級安全認證,率先實現身份認證終端「全品類+全二級」的行業「大滿貫」。飛天誠信下屬子公司宏思電子的HSC32C1安全芯片擁有國密二級證書並通過了AEC-Q100 Grade2車規認證。截至 2025年6月30日,飛天誠信及下屬子公司已擁有計算機軟件著作權登記證書二百余篇,授權並維持有效專利八百余篇。
「防釣魚MFA」(Phishing-Resistant MFA)的概念來自美國CISA(Cybersecurity and Infrastructure Security Agency,網絡安全與基礎設施安全局)。FIDO是CISA認定的防釣魚MFA之一。飛天誠信推出了一系列#FIDO Security Key產品,用户可以通過USB-A、USB-C接口、NFC或BLE接口將FIDO產品連接到電腦或手機,快速、安全地完成賬號登錄或單點登錄。飛天誠信FIDO Security Key現已支持Google、AWS等眾多在線服務。
供應鏈安全的「風」還會繼續吹,但這一次,願我們都能站穩腳跟,不再被「風」吹倒。從今天開始,關掉那些「殭屍授權」、卸載不再使用的第三方插件、給員工發一枚FIDO Security Key、讓每一次登錄都經過「物理確認」。當每一個節點都足夠堅韌,整條鏈就不再是「阿喀琉斯之踵」,而是「銅牆鐵壁」。
