美國安全培訓與研究機構SANS研究所最近確定了確保企業(yè)供應鏈安全的關鍵組件，而這是行業(yè)專家認為它們很重要的原因。

隨著網絡犯罪分子和黑客不斷攻擊安全性脆弱的企業(yè)或個人用戶，供應鏈上的網絡攻擊不斷增加。正如SANS研究所在最近關于供應鏈安全成功模式的報告中指出的那樣，許多備受矚目的安全事件表明了創(chuàng)建或升級供應鏈安全的重要性。

?今年4月，許多美國公司的外包商Wipro公司的可信網絡遭到破壞，并被威脅參與者用來對這家印度公司的客戶發(fā)起網絡攻擊。

?今年5月，Adobe公司的Magento電子商務平臺和7，000多個業(yè)務應用程序中的其他第三方服務遭到破壞，導致包括Ticketmaster公司在內的許多公司的密碼和其他敏感信息被盜。

?今年5月，第三方承包商將敏感憑證暴露給Universal Music Group的內部服務器，使存儲在這些服務器上的敏感信息面臨風險。

?今年7月，英國信息專員對英國航空公司處以2.3億美元罰款，占其2017年凈銷售額的1.5%，原因是該公司網站及其應用程序中的惡意軟件感染，泄露了約50萬名客戶的敏感信息。

SANS研究所新興趨勢總監(jiān)John Pescatore解釋說：“大約在四年前，當網絡犯罪分子開始攻擊供應鏈以達到主要目標時，供應鏈安全對于首席信息安全官變得更加重要?！彼硎?，最近由于一些國家對供應鏈的網絡攻擊引起了媒體對該主題的興趣，供應鏈安全問題變得更加令人關注。

總部位于芝加哥的咨詢機構Liberty Advisory Group公司的負責人Armond?aglar補充說：“威脅行為者越來越喜歡利用第三方供應商和分包商的防御手段，因為這些實體經常向黑客開放。”

SANS研究所發(fā)布的報告確定了有效的供應鏈安全計劃的五個關鍵措施：

1.確定供應鏈負責人

SANS報告指出，安全性必須在管理鏈中確定供應鏈決策的負責人，以確保安全性涉及未開發(fā)地區(qū)的某個級別。這名負責人可能是企業(yè)董事會成員、首席執(zhí)行官、首席運營官、首席信息官或采購主管。負責人需要獲得首席信息安全官或安全經理與企業(yè)管理人員的信任，然后與他們合作，而不是試圖發(fā)布安全指令。

?aglar指出，負責人必須被企業(yè)領導者認為是可靠的，并應與其他執(zhí)行利益相關者一起協(xié)商。他說：“沒有這樣的內部政治力量，當面對困擾大多數業(yè)務部門的傳統(tǒng)資源和預算限制時，適當的供應鏈計劃就可能被降級為另一個成本中心，而其風險緩解工作將被邊緣化。”

Webroot公司是一家保護計算機免受病毒、惡意軟件和網絡釣魚攻擊的軟件制造商，該公司工程部副總裁David Dufour補充說，不僅要有負責人，而且必須是合適的負責人。他解釋說：“供應鏈安全的負責人應該對安全有深入的了解，但他們的重點不是以安全為中心。他們還必須考慮到商業(yè)因素，并制定一個整體流程?！?/p>

SANS研究所的Pescatore承認，對于具有成熟安全狀況的大型公司來說可能不需要這樣的負責人。他說：“大型公司并不需要IT部門和IT安全部門來證明他們能夠以業(yè)務發(fā)展的速度來實現(xiàn)供應鏈安全。否則，業(yè)務人員會說，‘我們要承擔風險而不是失去市場份額。’”

2. 了解所有的供應商

該報告解釋說，任何成功的安全計劃的基礎都始于資產管理、漏洞評估和配置控制。報告中指出，企業(yè)無法確保不知道的東西在那里，如果知道它在那里，則必須能夠檢測到風險狀態(tài)何時發(fā)生變化。

報告指出，在供應鏈安全方面相當于投資組合管理。這意味著要發(fā)現(xiàn)和了解供應鏈所有合作伙伴（從第1層合作伙伴到擴展的供應商網絡），并定期評估漏洞并檢測暴露風險的變化。但是，這可能是一項艱巨的任務。

自動威脅管理解決方案提供商Vectra Networks公司安全分析負責人Chris Morales說，“在某些組織中，收購新供應商可能就像人們使用信用卡并簽署為其提供特定利益的服務一樣簡單。這些都是每天做出的決定，其中不包括安全審核或來自安全團隊的建議?！?/p>

數字風險保護解決方案提供商Digital Shadows公司戰(zhàn)略副總裁Rick Holland補充說，評估供應鏈是組織可以承擔的更具挑戰(zhàn)性的風險管理工作之一。他解釋說，“一家跨國公司很容易在其供應鏈中擁有上千家公司。在數字化轉型時代，許多供應鏈都由SaaS供應商組成，這些供應商比傳統(tǒng)的本地供應商更容易替換。其結果是瞬態(tài)供應鏈不斷發(fā)展。這進一步增加復雜性，企業(yè)進行的并購活動越多，其供應鏈就越復雜。所有這些因素使供應鏈風險管理成為一項艱巨的任務?！?/p>

3.擴展多種供應鏈風險評估方法

該報告警告說，一般的風險評估方法不適用于大多數企業(yè)。為了支持業(yè)務響應性需求，并能夠更持續(xù)地監(jiān)控風險水平，可能需要混合使用各種技術，從快速的瀏覽到詳細深入的評估。

報告指出，在總體和供應鏈管理中都繞開了安全小組的一個原因是安全行動太慢。它解釋說，企業(yè)經常要求業(yè)務經理承擔一定程度的風險，因為報告指出，供應鏈安全計劃需要提供分級評估以支持業(yè)務需求。

網絡安全服務提供商PerimeterX公司安全宣傳員Deepak Patel說：“安全團隊需要了解業(yè)務及其發(fā)展業(yè)務的要素。他們需要根據業(yè)務投入確定威脅的優(yōu)先級?！?/p>

Webroot的Dufour補充說：“許多安全團隊的行動確實太慢了。”

跨國網絡安全廠商Palo Alto Networks公司安全運營副總裁Eric Haller認為，“行動太慢”可能是糟糕計劃的明顯標志。他說，“這是安全團隊參與流程太晚并且沒有整合他們要求的征兆。與企業(yè)建立伙伴關系，及早參與并根據成果進行調整是避免業(yè)務放緩的最佳方法。”

自動化可以是避免速度下降的另一種方法?？偛课挥谟娜虺塑嚪丈蘂ett公司，其供應商安全通過Panorays部署自動化解決方案來解決。

Gett公司首席信息安全官Eyal Sasson解釋說：“該公司需要認識到新系統(tǒng)已經到位，必須經過安全審查流程才能與供應商合作。但是，在使用我們提供的解決方案一個月之后，考慮到自動化解決方案提供的速度，該公司員工并沒有感覺他們在此過程出現(xiàn)麻煩。該平臺已成為整個供應商的入職流程中不可或缺的一步。”

4.將儀表板和報表擴展到業(yè)務部門和IT經理

該報告建議，使用供應鏈安全流程和工具向非安全人員提供當前風險視圖的可見性，并使他們能夠將風險信息納入他們的決策中。報告指出，應將安全系統(tǒng)集成到任何現(xiàn)有流程中，以對供應商和合作伙伴的財務或生存風險進行評估。如果不存在任何系統(tǒng)，這將持續(xù)進行，那么報告視覺樣式或數據的供應鏈安全性應與采購、物流和業(yè)務運營經理所熟悉的形式盡可能相似。

LAG公司?aglar說：“我們經常聽到這種說法：安全性不是IT問題。這是一個普遍的業(yè)務挑戰(zhàn)，需要整個企業(yè)的利益相關者的接受和參與。業(yè)務部門往往負責為他們提供外包服務的供應商的管理。各個業(yè)務部門的儀表板可訪問性可以為風險較高的供應商提供有價值的數據，這些風險較高的供應商會提出最高繼承風險的潛在區(qū)域以采取行動?！?/p>

Caglar補充說：“這可以使業(yè)務部門堅持采用某些技術或管理控制措施，以作為與供應商持續(xù)開展業(yè)務的條件，甚至可以作為潛在地重新協(xié)商服務水平協(xié)議條款的手段?！?/p>

5. 與供應商達成一致

報告解釋說，很多制造商知道，淘汰劣質供應商并不是成功實施質量控制計劃的前提。他們意識到自己必須需要獲得反饋意見，以鼓勵所有供應商采用更高質量的流程。對于供應鏈安全計劃也是如此。有效的供應鏈安全計劃必須包括對供應商的反饋以及對評估和評級結果的可見性，以糾正未解決的問題并推動整體改進。

該報告提醒商業(yè)領袖，當針對供應鏈合作伙伴的攻擊成功時，客戶將責任歸咎于企業(yè)，而不是供應鏈。對供應鏈的大多數直接攻擊可以通過基本的安全措施加以阻止，還有一個關鍵的附加因素是，供應鏈安全計劃需要納入靈活性，以便它們能夠以采購決策的規(guī)模和速度進行操作。

對于許多董事會和許多客戶來說的一個好消息是，供應鏈安全性是其首要任務。通過展示一種改進或創(chuàng)建企業(yè)的供應鏈安全計劃的戰(zhàn)略方法，安全管理人員可以獲得必要的變革支持，從而有意義、有效率地保證供應鏈安全。

責任編輯：ct