在如今这个复杂且相互依赖的世界里,没有供应链就很难提供产品或服务。但这种依赖也产生了额外的风险——从声誉损失到重大业务中断。数据显示,2021年,62%的组织受到供应链网络攻击的影响,降低第三方造成的风险迫在眉睫。
您的组织可能经历哪些供应链风险?有哪些特别的威胁?您应该如何保护供应链免受可能的攻击?阅读这篇文章,您会得到所有答案。您还将学习7种有效的供应链安全最佳实践,以提高对供应链的保护和对潜在网络安全事件的应变能力。
基本上,供应链是使商品和服务在多个实体之间流向最终客户的所有过程。根据Gartner的说法,供应链包括“公司及其合作伙伴生态系统内的计划、采购、制造、分销、运输和服务”。
在供应链中,关键实体包括对最终产品或服务的生产和交付具有直接或间接影响的合作伙伴、供应商、供应商和服务提供商。区分内部供应链实体和外部供应链实体或第三方是很重要的。后者通常是大多数供应链风险的来源,因为组织的第三方管理能力有限。
(注意:为了简单起见,我们将在本文中交替使用术语“合作伙伴”、“供应商”、“提供商”和“第三方”,尽管它们的含义有细微差别。)
可以说,在供应链中,每个企业都依赖于其他企业。就像人体由不同的器官和系统组成一样,供应链由不同的公司、活动、人员、资源和信息组成。如果只有一个部分受到损害,整个系统就处于危险之中。
而依赖广泛且复杂供应链的行业——快消品、IT、制造业、医疗保健、农业、零售——应特别注意供应链风险。不过,即便您的公司不属于这些行业,采取适当的预防措施将供应链相关的风险降至最低仍然是明智的。
随着所有业务流程和交互都走向数字化,网络安全是安全稳定的供应链运营的关键。如果没有意识到这一点,可能会导致关键数据的泄露、业务中断和其他不希望出现的后果。
然而,供应链中的网络安全不应仅仅被视为IT问题——即使是单一的安全漏洞也会带来其他风险,包括可能的财务损失、品牌形象受损和运营中断。
现在,让我们深入研究来自供应链的特定网络安全威胁。
为了防止可能发生的供应链安全事件,我们首先需要了解造成这些事件的原因。让我们来看看导致供应链网络安全不佳的因素:
缺乏对第三方的可见性——组织可能不知道他们的外部供应链实体如何处理他们的关键系统和数据。
糟糕的数据管理——公司可能无法安全地使用、存储和保护他们的重要数据。此外,敏感信息可能会在多个供应链成员之间被疏忽地共享和分发,而不考虑后果。
广泛的第三方访问权限——组织经常授予第三方对其系统的访问权限,但很少确保适当的访问限制。虽然这种方法看起来很方便,但它通常会导致特权滥用、数据窃取和其他负面结果。
为了确保供应链的安全,您需要了解它所面临的特定威胁。
由于所有供应链组件都是深度互联的,网络犯罪分子可能会执行供应链攻击,以供应链中的薄弱环节为目标,并将其作为切入点。此类攻击的一个著名例子是Solarwinds黑客攻击,网络犯罪分子通过恶意代码感染Solarwinds软件更新补丁,获得了数千家组织的网络、系统和数据。然后,黑客可以通过访问受影响组织的网络来扩大攻击面。
您的供应链也可能成为无意的威胁(如人为错误)和恶意内部活动的受害者。让我们来仔细看看每一个供应链安全威胁:
供应链攻击通常被称为“越岛作战”(island hopping)。网络犯罪分子不是直接攻击一家公司,而是可以渗透或破坏一个脆弱的供应链组件。一个受损的实体可以被利用来进一步升级攻击到供应链网络。
供应链攻击可以通过多种方式进行:
受感染的软件和硬件。攻击者可能感染某个软件或在公司硬件中实现恶意组件。一旦安装了软件或硬件,恶意软件就会在整个供应链的多个实体之间传播。根据《2021年软件供应链安全报告》,与2020年相比,2021年软件供应链攻击增加了两倍。
受信任帐户泄露。这包括侵入一个其他供应链合作伙伴知道的账户。商业邮件泄露就是这种攻击的一个例子。如果被黑客攻击的电子邮件是可信的,网络犯罪分子就可以使用社会工程和网络钓鱼技术来破坏更多的电子邮件或诱骗收件人泄露关键数据。
水坑攻击。网络犯罪分子可以攻击一个被大量组织访问的网站。受感染的网站可以在供应链甚至整个行业的多个端点上分发恶意软件。
针对数据存储业务的攻击。一些组织雇佣第三方公司和云服务来聚合、存储和处理他们的数据。攻击者可能会破坏这些数据存储提供商的安全性,以获取有价值的信息并实施大规模欺诈。例如,这可以通过云劫持来实现。
在某些情况下,您的员工和供应链成员可能会无意中导致数据泄露和破坏、供应链中断和其他负面后果。
由于以下原因,您的供应链可能会被可信实体无意中损害:
人为错误。您的员工、供应商和其他供应链实体可能会犯意外错误,使您的网络安全和供应链面临风险。例如,合作伙伴可能会错误地将您的敏感数据发送给意想不到的收件人。或者,可以访问您的系统的某个供应商可能会意外删除一段重要数据。
糟糕的第三方网络安全。供应商和供应商可能未能充分保护其系统或在其端点上采用必要的网络安全措施。例如,您的供应链成员可能难以实现适当的IT安全标准,或者成为内部攻击的受害者。正如我们前面提到的,即使有一个第三方被泄露,多米诺骨牌效应也会发生,破坏越来越多的供应链环节。
员工的疏忽。即使是最安全的系统也不是100%安全的,如果使用它的人疏忽大意,没有安全意识。一个员工忽视密码建议可能导致帐户泄露。恶意行为者还可以很容易地利用未经培训的员工,并通过供应链逐步升级。
包括您的组织在内的整个供应链可能会受到恶意内部人员的影响——员工有意地试图破坏您的关键数据和系统。
内部威胁的风险在不断增加。事实上,根据《2022年Ponemon内部威胁成本全球报告》显示,从2020年到2022年,内部威胁事件增加了44%。
不过,您的内部恶意员工并不是唯一的危险:在供应链中,第三方也可能是内部威胁的来源,因为他们也可以访问您的网络和数据。
据Gartner称,恶意内部人员可能会通过以下方式造成损害:
数据盗窃。恶意内部人员可能会窃取有价值的数据,如知识产权或有关您的财务状况、客户和营销策略的信息。例如,您的竞争对手可以利用您的员工或供应链成员进行工业间谍活动。
系统破坏。内部人员可以通过改变重要的网络配置、安装恶意软件和影子IT或删除关键数据来破坏组织的系统。因此,您的业务可能会直接或通过您的供应链中断。
欺诈行为。恶意行为者可能会使用组织的IT基础设施来执行欺诈活动。为了满足个人利益,内部人员可以利用公司数据和资产组织身份犯罪。例如,授权第三方可能滥用您的客户数据,为个人利益发出非法付款或创建不准确的发票。
恶意的内部人员之所以危险,是因为他们的恶意行为与正常的工作惯例几乎没有区别。从信任的立场出发,恶意的内部人员可以长时间地进行有害活动而不被发现。
根据《2022年Ponemon内部威胁成本全球报告》显示,平均需要85天才能检测和控制内部安全事件。18%的组织甚至根本无法检测到内部威胁。
为了增强供应链的安全性,您需要跳出第三方安全风险管理的范畴,采用更全面的网络供应链风险管理(C-SCRM)策略。C-SCRM是识别、评估和减轻信息和运营技术对供应链构成的网络安全风险的过程。C-SCRM集成了信息安全与供应链管理,可帮助您增强业务连续性、供应链可见性和网络安全合规性。
我们编制了一份网络供应链风险管理的最佳实践清单,您可以将其作为C-SCRM的一部分,以保护您的供应链。
1. 进行供应链风险评估
您的供应链存在什么风险?
在采取任何旨在加强供应链安全的行动之前,评估可能的风险是很重要的。要做到这一点,您需要了解您的供应链,知道它的关键组成部分。找出您的供应商并评估他们的网络安全水平。将供应商分组到不同的风险配置文件中,根据漏洞级别、对业务的影响以及对系统和数据的访问权限对每个第三方进行优先级排序,这可能是有用的。问卷调查和现场访问可以帮助评估供应链安全。
找出供应链中最薄弱的环节。考虑一下是否可以补充这些供应商,或者让他们提高安全性。
除了供应链中的人员和组织外,还要注意提供给您的软件和硬件产品的安全。确定供应链中的哪些流程对敏感数据和系统构成威胁。想想有什么需要保护,为什么要保护。
为了更好地可视化风险,您可以绘制组织和供应链元素之间所有交互的树状图。这将帮助您跟踪连接,并看到供应链风险的全貌。
我们建议定期评估您的供应链风险。根据供应商的重要性评估其网络安全。根据您的风险评估结果,下一步是建立您的C-SCRM程序。
2. 建立正式的C-SCRM程序
所有人负责无异于无人负责。
正式的C-SCRM程序确保了问责制,因为它清楚地描述了组织和供应商之间关系的业务和网络安全方面的角色和责任。
正式的C-SCRM程序是一份文件,其中详细描述了与供应链网络安全相关的所有措施。在单一来源中指定的政策、流程、程序和工具将协调一致的行动,以管理您的供应链风险。C-SCRM程序也是根据第三方的重要性和风险级别对其进行分类的好方法。这将帮助您的组织避免与不可靠的供应商合作。
建议根据组织的规模定义C-SCRM的结构。一个组织越大,它的C-SCRM计划就应该覆盖所有的过程和方面。
3. 与供应商合作提高安全性
一捆总比一根强。
如果不与供应商密切合作,就不可能维持一个安全的供应链。根据NIST的说法,一些企业在公司之间组织整个供应链生态系统,以增加协调并简化复杂的共享供应链的管理。
与第三方保持定期沟通对于缓解供应链漏洞至关重要。您可以组织访问和聚会,致力于提高供应链的弹性和安全性,并进行培训,以提高第三方的认识。
向供应商宣传您的安全需求和标准,并设法使它们在整个供应链中保持一致,这很重要。此外,要在与供应商的协作中定义职责,请考虑使用服务水平协议(SLA)。它将帮助您与第三方沟通并在第三方之间标准化需求,并使他们对可能引起的网络安全事件负责。SLA应包括考虑到合作的网络安全方面的所有细节。指定各方的职责、安全需求、衡量需求符合性的标准、违规罚款等。
4. 加强数据管理
保护您的数据。
在供应链安全方面,有价值的业务数据的收集、处理和存储方式至关重要。这就是为什么您需要有效的网络安全性,并在多层上(从您的组织使用的单独应用程序到整个基础设施)保护您的业务数据。
尝试使用加密和标记化等数据保护技术来增强您的网络安全。为了能够恢复丢失的数据,您可能希望定期执行数据备份并使用数据丢失预防解决方案。为了在不同的供应链实体之间安全地交换数据,可以考虑使用托管文件传输平台。
不仅在您的组织内部,而且在所有供应商的基础设施中,尽一切努力确保数据管理的安全。
5. 限制供应商使用关键资产
不要盲目相信您的供应链。
为了帮助保护您的重要数据和系统免受恶意活动的侵害,请限制供应商对其进行的特权访问。您可以应用最小特权原则,这意味着将员工对组织关键资产的访问限制在执行常规职责所需的范围内。
您还可以考虑采用零信任方法,这不仅需要限制对关键资产的访问,而且还需要始终验证访问它们的每个用户和设备的身份。要做到这一点,您可能需要使用一个通用的内部风险管理平台。
6. 监控供应商的活动
观察他们的行为。
要降低组织中恶意内部攻击的风险,请考虑为访问系统的供应商、供应商和其他供应链实体启用持续活动监视。
监视每个访问您网络的外部用户将增加第三方的问责制,并允许在发生事件时进行有效的调查。此外,监视第三方活动是常见的IT遵从性需求。
7. 制定事件响应计划
您会如何应对安全事件?
由于供应链风险具有不可预见的性质,因此建立防御系统是非常重要的,可以预料到您的系统将会受到损害。因此,即使发生与第三方有关的事件,你也会做好充分的准备。
根据风险评估结果,为安全团队创建详细的事件响应计划。该计划应包括安全事件响应的程序、角色和条件。
如果安全事件发生在您的范围之外,为第三方提供帮助以减轻后果是至关重要的,因为供应链安全也是您的安全。同样地,如果您的安全受到破坏或第三方数据被泄露,请及时通知您的供应商。
参考及来源:https://www.ekransystem.com/en/blog/supply-chain-security