John P. Mello, Jr.

犯罪分子和國家資助的黑客一直在尋找易受攻擊的目標，導致對供應鏈的網(wǎng)絡攻擊也在持續(xù)增加。正如SANS研究所最近在一份關于供應鏈安全成功模式的報告中指出的那樣，一些轟動性的事件表明了建立安全供應鏈并經(jīng)常進行更新的重要性。

·去年4月，很多美國企業(yè)的外包商—印度Wipro公司的可信網(wǎng)絡被攻破了，并被犯罪分子所利用，對這家印度公司的客戶發(fā)動了網(wǎng)絡攻擊。

·去年5月，Adobe旗下的Magento電子商務平臺以及7000多個商業(yè)應用程序中的其他第三方服務遭到攻擊，導致Ticketmaster等多家公司的密碼和其他敏感信息被盜。

·去年5月，一家第三方承包商向環(huán)球音樂集團（Universal Music Group）的內(nèi)部服務器公開了敏感證書，導致存儲在這些服務器上的敏感信息面臨很大的風險。

·去年7月，英國信息專業(yè)委員會對英國航空公司（British Airways）處以2.3億美元的罰款，占其2017年凈銷售額的1.5%，原因是該公司網(wǎng)站及其應用程序被惡意軟件感染，導致大約50萬名客戶的敏感信息被轉移到了惡意網(wǎng)站。

該報告的作者、SANS新興趨勢主管John Pescatore解釋道：“大約4年前，網(wǎng)絡犯罪分子開始以供應鏈作為攻擊重要目標的一種方式，供應鏈安全對于首席信息安全官而言變得更為重要了?！彼f，供應鏈安全最近備受關注，原因是一些民族國家對供應鏈的攻擊激起了媒體對這方面的興趣。

總部位于芝加哥的咨詢公司Liberty咨詢集團（LAG）負責人Armond ?aglar補充道：“犯罪分子越來越傾向于利用第三方供應商和分包商的漏洞，因為這些實體的防御措施往往形同虛設?！?/p>

SANS報告研究確定了有效供應鏈安全項目的五個關鍵因素：

1.明確供應鏈安全責任人

SANS的報告指出，在管理鏈中必須有人負責安全問題，涉及到供應鏈安全的決策一定是由高層做出的。這位關鍵人物可以是董事會成員、首席執(zhí)行官、首席運營官、首席信息官或者采購主管。要培養(yǎng)這類責任人，首先要求首席信息安全官或者安全管理人員與管理層建立信任，然后與他們合作，而不能只是發(fā)布安全指令就算完成工作了。

?aglar指出，責任人應受到其上層決策者的信任，并且應該與其他相關高管平起平坐。他說：“如果沒有這樣的內(nèi)部行政機制，當面臨困擾很多業(yè)務部門的傳統(tǒng)資源和預算限制問題時，一個合適的供應鏈項目可能會被歸類為高成本項目，導致其風險緩解工作被擱置?！?p>

Webroot是一家保護計算機免受病毒、惡意軟件和網(wǎng)絡釣魚攻擊的軟件制造商，該公司工程副總裁David Dufour補充說，不僅要有責任人，而且責任人必須是稱職的，這一點非常重要。他解釋說：“供應鏈安全的合適責任人應該對安全有深入的了解，但他們關注的重點不應僅以安全為中心。他們還必須考慮到業(yè)務因素，制訂一個非常全面的流程?！?/p>

SANS的Pescatore承認，對于安全狀況比較成熟的大型公司來說，可能不需要一個責任人。他說：“大公司不需要像IT那樣的責任人，其職責應由IT安全部門承擔起來，證明他們?nèi)缤瑯I(yè)務部門那樣，很快地實現(xiàn)供應鏈安全。否則，業(yè)務部門會說，‘我們寧愿承擔風險，也不愿失去市場份額?！?h3>2.熟知自己的供應商

報告解釋說，任何成功安全項目的基礎都是從資產(chǎn)管理、漏洞評估和配置控制開始的。報告指出，如果你不了解要保護的東西，那就無法保證其安全，即使你了解了情況，還必須能檢測到風險態(tài)勢何時發(fā)生了變化。

報告接著指出，在供應鏈安全中，相應的是產(chǎn)品線管理。這意味著找到所有供應鏈合作伙伴——從一級合作伙伴到供應商擴展網(wǎng)絡，并定期評估漏洞，檢測暴露風險有什么變化。不過，這可能是一項艱巨的任務。

自動威脅管理解決方案提供商Vectra網(wǎng)絡公司的安全分析主管Chris Morales介紹說：“在一些企業(yè)中，采用一家新供應商就像人們使用信用卡那么簡單，注冊某項服務，就能為自己帶來便利。企業(yè)每天都在做出類似的決定，但不包括安全部門的安全審計或者建議。”

提供數(shù)字風險保護解決方案的數(shù)字影子公司（Digital Shadows）戰(zhàn)略副總裁Rick Holland補充道，評估供應鏈是企業(yè)可以承擔的風險管理工作中最具挑戰(zhàn)性的一項工作。他解釋說：“一家跨國企業(yè)的供應鏈中很容易就有1000多家公司。在數(shù)字化轉型時代，很多供應鏈上都有SaaS供應商，他們比傳統(tǒng)的本地供應商更容易被取代。其結果是一個不斷演進的瞬態(tài)供應鏈?！?/p>

Holland繼續(xù)解釋說：“更復雜的是，一家企業(yè)的并購活動越多，其供應鏈就越復雜。所有這些因素都導致供應鏈風險管理變成了一項艱巨的任務?！?h3>3.擴展多供應鏈風險評估方法

報告提醒說，通用的風險評估方法并不適用于大多數(shù)企業(yè)。報告解釋道，為了支持業(yè)務響應需求并能夠更持續(xù)地監(jiān)控風險等級，可能需要結合使用各種方法——從快速的“第一眼”評估到詳細、深入的評估等。

報告繼續(xù)指出，無論是在整體上還是在供應鏈管理方面，安全部門被忽視的一個普遍原因是“安全部門行動太慢”。報告解釋說，業(yè)務部門通常要求業(yè)務經(jīng)理能承受一定程度的風險，因為推遲上市的風險更大。報告指出，供應鏈安全計劃應具備分層評估能力，以支持業(yè)務需求。

網(wǎng)絡安全服務提供商PerimeterX的安全拓展專員Deepak Patel說：“安全部門應了解業(yè)務以及促進業(yè)務增長的要素。他們應根據(jù)業(yè)務輸入，對威脅進行優(yōu)先級排序。”

Webroot公司的Dufour補充道：“很多安全部門的行動確實太慢了。這好有一比，他們實際上只需要一輛自行車去商店買餅干，但卻建造了企業(yè)號星際飛船，要飛到別的太陽系去?！?/p>

跨國網(wǎng)絡安全公司Palo Alto網(wǎng)絡公司負責安全運維的副總裁Eric Haller認為，“行動太慢”其實是計劃不太好的一種跡象。他說：“這是安全部門參與過程太晚，沒有整合業(yè)務部門需求的征兆。與業(yè)務部門建立合作伙伴關系，及早參與，并根據(jù)結果進行調(diào)整，這是避免業(yè)務放緩的最佳方式。”

自動化是避免行動太慢的另一種方法。在總部位于英國的全球叫車服務公司Gett，因為部署了Panorays公司的自動化解決方案，從而解決了供應鏈安全問題。

其首席信息安全官Eyal Sasson解釋道：“公司需要認識到一個新的系統(tǒng)已經(jīng)到位，并且必須通過安全審查程序才能與供應商合作?！彼^續(xù)解釋說，“然而，在使用了我們實施的解決方案一個月之后，由于自動化解決方案的速度非常快，員工們并沒有感覺到他們的過程中出現(xiàn)過小問題。該平臺成為了整個供應商進入供應鏈過程中不可或缺的一步。”

4.擴展儀表盤，并向業(yè)務部門和IT經(jīng)理報告

報告建議使用供應鏈安全流程和工具，以可視化方式向非安全人員提供當前風險視圖，使他們能夠在決策中納入風險信息。報告指出，應該將安全系統(tǒng)集成到任何現(xiàn)有的過程中，以便對供應商及合作伙伴的財務和生存能力風險進行評估。而如果沒有安全系統(tǒng)，供應鏈安全報告的可視化樣式或者可視化數(shù)據(jù)就應該與采購、物流和業(yè)務運維經(jīng)理所熟悉的盡可能相似。

LAG的?aglar說：“我們經(jīng)常聽到這種說法，但這確實是事實：安全不是IT問題。這是一個普遍的業(yè)務難題，需要企業(yè)所有相關方的接受和參與。”他繼續(xù)說：“業(yè)務部門往往負責管理代表他們提供外包服務的供應商。各個業(yè)務部門使用儀表盤，可以針對風險較高的供應商生成有價值的數(shù)據(jù)，這些供應商在某些方面累積了很高的風險，需要采取行動了?！?/p>

?aglar補充說：“這可以讓業(yè)務部門堅持采用某些技術或者管理控制措施，作為與供應商繼續(xù)開展業(yè)務的條件，甚至作為重新談判服務等級協(xié)議條款的手段。”

5.與供應商保持閉環(huán)

報告解釋說，制造商很早以前就知道，僅僅淘汰劣質(zhì)供應商并不是成功實現(xiàn)質(zhì)量控制計劃的好方法。他們意識到他們必須“閉環(huán)”——提供反饋以鼓勵所有供應商采用質(zhì)量更高的流程。

報告接著指出，供應鏈安全計劃也是如此。一個有效的供應鏈安全計劃必須包括針對供應商的反饋，以及以可視化的方式提供評估和評級結果，目的是糾正未解決的問題并從整體上推動改進。

報告提醒企業(yè)領導人，當針對供應鏈合作伙伴的攻擊取得成功時，客戶會責怪企業(yè)，而不是供應鏈。報告指出，可以通過基本的安全環(huán)境防護措施來抵御針對供應鏈的大多數(shù)直接攻擊，這是一個關鍵的基本因素。供應鏈安全計劃應非常靈活，只有這樣才能跟得上采購決策的規(guī)模和速度。

報告補充說，好消息是，對于很多董事會和客戶來說，他們認為供應鏈安全是重中之重。報告還指出，通過展示一種改進或者創(chuàng)建供應鏈安全計劃的戰(zhàn)略方法，安全管理人員能夠獲得必要的變革支持，從而更有效地提高供應鏈的安全性。

John Mello為很多網(wǎng)絡出版物撰寫技術和網(wǎng)絡安全方面的文章，曾任《波士頓商業(yè)雜志》和《波士頓鳳凰報》的總編輯。

原文網(wǎng)址

https：//www.csoonline.com/article/3449238/5-keys-to-protect-your-supply-chain-from-cyberattacks.html