如何避免供應(yīng)鏈?zhǔn)艿骄W(wǎng)絡(luò)攻擊

美國安全培訓(xùn)與研究機(jī)構(gòu)SANS研究所最近確定了確保企業(yè)供應(yīng)鏈安全的關(guān)鍵組件，而這是行業(yè)專家認(rèn)為它們很重要的原因。

隨著網(wǎng)絡(luò)犯罪分子和黑客不斷攻擊安全性脆弱的企業(yè)或個(gè)人用戶，供應(yīng)鏈上的網(wǎng)絡(luò)攻擊不斷增加。正如SANS研究所在最近關(guān)于供應(yīng)鏈安全成功模式的報(bào)告中指出的那樣，許多備受矚目的安全事件表明了創(chuàng)建或升級供應(yīng)鏈安全的重要性。

?今年4月，許多美國公司的外包商Wipro公司的可信網(wǎng)絡(luò)遭到破壞，并被威脅參與者用來對這家印度公司的客戶發(fā)起網(wǎng)絡(luò)攻擊。

?今年5月，Adobe公司的Magento電子商務(wù)平臺和7，000多個(gè)業(yè)務(wù)應(yīng)用程序中的其他第三方服務(wù)遭到破壞，導(dǎo)致包括Ticketmaster公司在內(nèi)的許多公司的密碼和其他敏感信息被盜。

?今年5月，第三方承包商將敏感憑證暴露給Universal Music Group的內(nèi)部服務(wù)器，使存儲在這些服務(wù)器上的敏感信息面臨風(fēng)險(xiǎn)。

?今年7月，英國信息專員對英國航空公司處以2.3億美元罰款，占其2017年凈銷售額的1.5%，原因是該公司網(wǎng)站及其應(yīng)用程序中的惡意軟件感染，泄露了約50萬名客戶的敏感信息。

SANS研究所新興趨勢總監(jiān)John Pescatore解釋說：“大約在四年前，當(dāng)網(wǎng)絡(luò)犯罪分子開始攻擊供應(yīng)鏈以達(dá)到主要目標(biāo)時(shí)，供應(yīng)鏈安全對于首席信息安全官變得更加重要。”他表示，最近由于一些國家對供應(yīng)鏈的網(wǎng)絡(luò)攻擊引起了媒體對該主題的興趣，供應(yīng)鏈安全問題變得更加令人關(guān)注。

總部位于芝加哥的咨詢機(jī)構(gòu)Liberty Advisory Group公司的負(fù)責(zé)人Armond?aglar補(bǔ)充說：“威脅行為者越來越喜歡利用第三方供應(yīng)商和分包商的防御手段，因?yàn)檫@些實(shí)體經(jīng)常向黑客開放?！?/p>

SANS研究所發(fā)布的報(bào)告確定了有效的供應(yīng)鏈安全計(jì)劃的五個(gè)關(guān)鍵措施：

1.確定供應(yīng)鏈負(fù)責(zé)人

SANS報(bào)告指出，安全性必須在管理鏈中確定供應(yīng)鏈決策的負(fù)責(zé)人，以確保安全性涉及未開發(fā)地區(qū)的某個(gè)級別。這名負(fù)責(zé)人可能是企業(yè)董事會成員、首席執(zhí)行官、首席運(yùn)營官、首席信息官或采購主管。負(fù)責(zé)人需要獲得首席信息安全官或安全經(jīng)理與企業(yè)管理人員的信任，然后與他們合作，而不是試圖發(fā)布安全指令。

?aglar指出，負(fù)責(zé)人必須被企業(yè)領(lǐng)導(dǎo)者認(rèn)為是可靠的，并應(yīng)與其他執(zhí)行利益相關(guān)者一起協(xié)商。他說：“沒有這樣的內(nèi)部政治力量，當(dāng)面對困擾大多數(shù)業(yè)務(wù)部門的傳統(tǒng)資源和預(yù)算限制時(shí)，適當(dāng)?shù)墓?yīng)鏈計(jì)劃就可能被降級為另一個(gè)成本中心，而其風(fēng)險(xiǎn)緩解工作將被邊緣化?！?/p>

Webroot公司是一家保護(hù)計(jì)算機(jī)免受病毒、惡意軟件和網(wǎng)絡(luò)釣魚攻擊的軟件制造商，該公司工程部副總裁David Dufour補(bǔ)充說，不僅要有負(fù)責(zé)人，而且必須是合適的負(fù)責(zé)人。他解釋說：“供應(yīng)鏈安全的負(fù)責(zé)人應(yīng)該對安全有深入的了解，但他們的重點(diǎn)不是以安全為中心。他們還必須考慮到商業(yè)因素，并制定一個(gè)整體流程?！?/p>

SANS研究所的Pescatore承認(rèn)，對于具有成熟安全狀況的大型公司來說可能不需要這樣的負(fù)責(zé)人。他說：“大型公司并不需要IT部門和IT安全部門來證明他們能夠以業(yè)務(wù)發(fā)展的速度來實(shí)現(xiàn)供應(yīng)鏈安全。否則，業(yè)務(wù)人員會說，‘我們要承擔(dān)風(fēng)險(xiǎn)而不是失去市場份額。’”

2. 了解所有的供應(yīng)商

該報(bào)告解釋說，任何成功的安全計(jì)劃的基礎(chǔ)都始于資產(chǎn)管理、漏洞評估和配置控制。報(bào)告中指出，企業(yè)無法確保不知道的東西在那里，如果知道它在那里，則必須能夠檢測到風(fēng)險(xiǎn)狀態(tài)何時(shí)發(fā)生變化。

報(bào)告指出，在供應(yīng)鏈安全方面相當(dāng)于投資組合管理。這意味著要發(fā)現(xiàn)和了解供應(yīng)鏈所有合作伙伴（從第1層合作伙伴到擴(kuò)展的供應(yīng)商網(wǎng)絡(luò)），并定期評估漏洞并檢測暴露風(fēng)險(xiǎn)的變化。但是，這可能是一項(xiàng)艱巨的任務(wù)。

自動威脅管理解決方案提供商Vectra Networks公司安全分析負(fù)責(zé)人Chris Morales說，“在某些組織中，收購新供應(yīng)商可能就像人們使用信用卡并簽署為其提供特定利益的服務(wù)一樣簡單。這些都是每天做出的決定，其中不包括安全審核或來自安全團(tuán)隊(duì)的建議?！?/p>

數(shù)字風(fēng)險(xiǎn)保護(hù)解決方案提供商Digital Shadows公司戰(zhàn)略副總裁Rick Holland補(bǔ)充說，評估供應(yīng)鏈?zhǔn)墙M織可以承擔(dān)的更具挑戰(zhàn)性的風(fēng)險(xiǎn)管理工作之一。他解釋說，“一家跨國公司很容易在其供應(yīng)鏈中擁有上千家公司。在數(shù)字化轉(zhuǎn)型時(shí)代，許多供應(yīng)鏈都由SaaS供應(yīng)商組成，這些供應(yīng)商比傳統(tǒng)的本地供應(yīng)商更容易替換。其結(jié)果是瞬態(tài)供應(yīng)鏈不斷發(fā)展。這進(jìn)一步增加復(fù)雜性，企業(yè)進(jìn)行的并購活動越多，其供應(yīng)鏈就越復(fù)雜。所有這些因素使供應(yīng)鏈風(fēng)險(xiǎn)管理成為一項(xiàng)艱巨的任務(wù)?！?/p>

3.擴(kuò)展多種供應(yīng)鏈風(fēng)險(xiǎn)評估方法

該報(bào)告警告說，一般的風(fēng)險(xiǎn)評估方法不適用于大多數(shù)企業(yè)。為了支持業(yè)務(wù)響應(yīng)性需求，并能夠更持續(xù)地監(jiān)控風(fēng)險(xiǎn)水平，可能需要混合使用各種技術(shù)，從快速的瀏覽到詳細(xì)深入的評估。

報(bào)告指出，在總體和供應(yīng)鏈管理中都繞開了安全小組的一個(gè)原因是安全行動太慢。它解釋說，企業(yè)經(jīng)常要求業(yè)務(wù)經(jīng)理承擔(dān)一定程度的風(fēng)險(xiǎn)，因?yàn)閳?bào)告指出，供應(yīng)鏈安全計(jì)劃需要提供分級評估以支持業(yè)務(wù)需求。

網(wǎng)絡(luò)安全服務(wù)提供商PerimeterX公司安全宣傳員Deepak Patel說：“安全團(tuán)隊(duì)需要了解業(yè)務(wù)及其發(fā)展業(yè)務(wù)的要素。他們需要根據(jù)業(yè)務(wù)投入確定威脅的優(yōu)先級?！?/p>

Webroot的Dufour補(bǔ)充說：“許多安全團(tuán)隊(duì)的行動確實(shí)太慢了?！?/p>

跨國網(wǎng)絡(luò)安全廠商Palo Alto Networks公司安全運(yùn)營副總裁Eric Haller認(rèn)為，“行動太慢”可能是糟糕計(jì)劃的明顯標(biāo)志。他說，“這是安全團(tuán)隊(duì)參與流程太晚并且沒有整合他們要求的征兆。與企業(yè)建立伙伴關(guān)系，及早參與并根據(jù)成果進(jìn)行調(diào)整是避免業(yè)務(wù)放緩的最佳方法。”

自動化可以是避免速度下降的另一種方法。總部位于英國的全球乘車服務(wù)商Gett公司，其供應(yīng)商安全通過Panorays部署自動化解決方案來解決。

Gett公司首席信息安全官Eyal Sasson解釋說：“該公司需要認(rèn)識到新系統(tǒng)已經(jīng)到位，必須經(jīng)過安全審查流程才能與供應(yīng)商合作。但是，在使用我們提供的解決方案一個(gè)月之后，考慮到自動化解決方案提供的速度，該公司員工并沒有感覺他們在此過程出現(xiàn)麻煩。該平臺已成為整個(gè)供應(yīng)商的入職流程中不可或缺的一步?！?/p>

4.將儀表板和報(bào)表擴(kuò)展到業(yè)務(wù)部門和IT經(jīng)理

該報(bào)告建議，使用供應(yīng)鏈安全流程和工具向非安全人員提供當(dāng)前風(fēng)險(xiǎn)視圖的可見性，并使他們能夠?qū)L(fēng)險(xiǎn)信息納入他們的決策中。報(bào)告指出，應(yīng)將安全系統(tǒng)集成到任何現(xiàn)有流程中，以對供應(yīng)商和合作伙伴的財(cái)務(wù)或生存風(fēng)險(xiǎn)進(jìn)行評估。如果不存在任何系統(tǒng)，這將持續(xù)進(jìn)行，那么報(bào)告視覺樣式或數(shù)據(jù)的供應(yīng)鏈安全性應(yīng)與采購、物流和業(yè)務(wù)運(yùn)營經(jīng)理所熟悉的形式盡可能相似。

LAG公司?aglar說：“我們經(jīng)常聽到這種說法：安全性不是IT問題。這是一個(gè)普遍的業(yè)務(wù)挑戰(zhàn)，需要整個(gè)企業(yè)的利益相關(guān)者的接受和參與。業(yè)務(wù)部門往往負(fù)責(zé)為他們提供外包服務(wù)的供應(yīng)商的管理。各個(gè)業(yè)務(wù)部門的儀表板可訪問性可以為風(fēng)險(xiǎn)較高的供應(yīng)商提供有價(jià)值的數(shù)據(jù)，這些風(fēng)險(xiǎn)較高的供應(yīng)商會提出最高繼承風(fēng)險(xiǎn)的潛在區(qū)域以采取行動。”

Caglar補(bǔ)充說：“這可以使業(yè)務(wù)部門堅(jiān)持采用某些技術(shù)或管理控制措施，以作為與供應(yīng)商持續(xù)開展業(yè)務(wù)的條件，甚至可以作為潛在地重新協(xié)商服務(wù)水平協(xié)議條款的手段?！?/p>

5. 與供應(yīng)商達(dá)成一致

報(bào)告解釋說，很多制造商知道，淘汰劣質(zhì)供應(yīng)商并不是成功實(shí)施質(zhì)量控制計(jì)劃的前提。他們意識到自己必須需要獲得反饋意見，以鼓勵所有供應(yīng)商采用更高質(zhì)量的流程。對于供應(yīng)鏈安全計(jì)劃也是如此。有效的供應(yīng)鏈安全計(jì)劃必須包括對供應(yīng)商的反饋以及對評估和評級結(jié)果的可見性，以糾正未解決的問題并推動整體改進(jìn)。

該報(bào)告提醒商業(yè)領(lǐng)袖，當(dāng)針對供應(yīng)鏈合作伙伴的攻擊成功時(shí)，客戶將責(zé)任歸咎于企業(yè)，而不是供應(yīng)鏈。對供應(yīng)鏈的大多數(shù)直接攻擊可以通過基本的安全措施加以阻止，還有一個(gè)關(guān)鍵的附加因素是，供應(yīng)鏈安全計(jì)劃需要納入靈活性，以便它們能夠以采購決策的規(guī)模和速度進(jìn)行操作。

對于許多董事會和許多客戶來說的一個(gè)好消息是，供應(yīng)鏈安全性是其首要任務(wù)。通過展示一種改進(jìn)或創(chuàng)建企業(yè)的供應(yīng)鏈安全計(jì)劃的戰(zhàn)略方法，安全管理人員可以獲得必要的變革支持，從而有意義、有效率地保證供應(yīng)鏈安全。