保护供应链免受网络攻击的5个关键措施

美国安全培训和研究机构SANS研究所最近确定了确保企业供应链安全的关键组成部分，这就是为什么行业专家认为它们很重要。

随着网络犯罪分子和黑客继续攻击易受攻击的企业或个人用户，供应链上的网络攻击也在增加。正如SANS研究所在最近关于供应链安全成功模式的报告中指出的，许多引人注目的安全事件表明了创建或升级供应链安全的重要性。

今年4月，许多美国公司的外包公司Wipro的可信网络遭到破坏，并被威胁参与者用来对这家印度公司的客户发起网络攻击。今年5月，奥多比的Magento电子商务平台和7000多个商业应用中的其他第三方服务遭到破坏，导致包括Ticketmaster在内的许多公司的密码和其他敏感信息被盗。今年5月，第三方承包商将敏感证书暴露给环球音乐集团的内部服务器，使存储在这些服务器上的敏感信息面临风险。今年7月，英国信息专员对英国航空公司(British Airways)处以2.3亿美元罚款，占其2017年净销售额的1.5%，因为该公司网站及其应用程序上的恶意软件感染泄露了约50万客户的敏感信息。

SANS研究所新兴趋势主任John Pescatore解释道:“大约四年前，当网络犯罪分子开始攻击供应链以实现其主要目标时，供应链安全对首席信息安全官来说变得更加重要。”他说，最近一些国家对供应链的网络攻击引起了媒体对此话题的兴趣，供应链安全问题也越来越受到关注。

Armondaglar，芝加哥咨询公司Liberty Advisory Group的负责人，补充道:“威胁行为者越来越多地利用第三方供应商和分包商的防御，因为这些实体经常对黑客开放。”

SANS协会发布的报告确定了有效供应链安全计划的五个关键措施:

1.确定供应链负责人

SANS报告指出，安全必须确定管理链中负责供应链决策的人员，以确保安全在不发达地区达到一定水平。负责人可以是企业的董事会成员、首席执行官、首席运营官、首席信息官或采购主管。负责人需要获得首席信息安全官或安全经理和企业经理的信任，然后与他们合作，而不是试图发布安全指令。

aglar指出，企业领导人必须认为负责人是可靠的，并应与其他实施利益相关方进行谈判。他表示:“如果没有这种内部政治权力，当面临困扰大多数业务部门的传统资源和预算限制时，适当的供应链规划可能会降级到另一个成本中心，其风险缓解工作将被边缘化。”

Webroot是一家保护计算机免受病毒、恶意软件和网络钓鱼攻击的软件制造商。该公司工程副总裁大卫·杜福尔补充说，不仅要有一个负责任的人，还要有一个合适的人。他解释道:“负责供应链安全的人应该对安全有深刻的理解，但他们的重点不是安全。他们还必须考虑商业因素，并制定一个整体流程。”

SANS研究所的Pescatore承认，安全条件成熟的大公司可能不需要这样的负责人。他说:“大公司不需要信息技术部门和信息技术安全部门来证明他们能够以业务发展的速度实现供应链安全。否则，商界人士会说，“我们必须承担风险，而不是失去市场份额。””

2. 了解所有的供应商

该报告解释说，任何成功的安全计划的基础都始于资产管理、漏洞评估和配置控制。报告指出，企业不能确保他们不知道的东西在那里。如果他们知道它在哪里，他们必须能够检测到风险状态何时改变。

报告指出供应链安全等同于投资组合管理。这意味着发现和了解供应链中的所有合作伙伴(从一级合作伙伴到扩展的供应商网络)，并定期评估漏洞和检测暴露风险的变化。然而，这可能是一项艰巨的任务。

自动化威胁管理解决方案提供商Vectra Networks的安全分析主管克里斯·莫拉莱斯(Chris Morales)表示，“在一些组织中，收购新供应商可能就像人们使用信用卡并注册为他们提供特定好处的服务一样简单。这些是日常决策，不包括安全审计或安全团队的建议。”

数字风险保护解决方案提供商数字阴影战略副总裁里克·霍兰德(Rick Holland)补充说，评估供应链是组织可以承担的更具挑战性的风险管理任务之一。他解释道，“跨国公司很容易在其供应链中拥有数千家公司。在数字转型时代，许多供应链由SaaS供应商组成，比传统的本地供应商更容易替换。其结果是暂时性供应链的持续发展。这进一步增加了复杂性。企业进行的并购越多，供应链就越复杂。所有这些因素都使供应链风险管理成为一项艰巨的任务。”

3.扩展多种供应链风险评估方法

该报告警告说，一般风险评估方法不适用于大多数企业。为了支持业务响应性要求并更持续地监控风险水平，可能需要混合各种技术，从快速浏览到详细深入的评估。

报告指出，在整体和供应链管理中绕过安全团队的一个原因是安全行动太慢。它解释说，公司经常要求业务经理承担一定程度的风险，因为报告指出供应链安全计划需要提供分层评估来支持业务需求。

Deepak Patel，网络安全服务提供商周界X的安全倡导者说:“安全团队需要了解业务及其发展的要素。他们需要根据业务投资确定威胁的优先级。”“网络根”的杜福尔补充道:“许多安全团队的行动实在太慢了。”

跨国网络安全供应商帕洛阿尔托网络安全运营副总裁埃里克·哈勒(Eric Haller)认为，“进展太慢”可能是一个糟糕计划的明显迹象。他说，“这是一个迹象，表明安全团队已经来不及参与这个过程，并且还没有整合他们的需求。与企业建立伙伴关系、尽早参与并根据结果进行调整是避免业务放缓的好方法。”

自动化可以是避免速度下降的另一种方法。总部位于英国的全球汽车服务提供商Gett通过Panorays部署自动化解决方案来保护其供应商。

Gett首席信息安全官埃亚尔·萨森(Eyal Sasson)解释道:“公司需要意识到新系统已经到位，在与供应商合作之前必须经过安全审查过程。然而，在使用我们提供的解决方案一个月后，考虑到自动化解决方案的提供速度，公司的员工并不觉得他们在这个过程中遇到了麻烦。该平台已成为整个供应商入职流程中不可或缺的一步。”

4.将仪表板和报表扩展到业务部门和IT经理

5. 与供应商达成一致

LAG AG aglar说:“我们经常听到这样的说法，安全不是一个信息技术问题。这是一个常见的业务挑战，需要整个企业的利益相关者的接受和参与。业务部门通常负责管理为他们提供外包服务的供应商。不同业务部门仪表板的可访问性可以为风险较高的供应商提供有价值的数据。这些风险较高的供应商将提出具有最高继承风险的潜在领域供采取行动。”

卡格拉尔补充道:“这可以让业务部门坚持采用某些技术或管理控制，作为与供应商持续业务的条件，甚至作为重新谈判服务水平协议条款的一种手段。”

该报告提醒商业领袖，当供应链受到攻击时

对许多董事会和客户来说，好消息是供应链安全是他们的首要任务。通过展示改进或创建企业供应链安全计划的战略方法，安全经理可以获得必要的变革支持，从而以有意义和高效的方式确保供应链安全。