美國(guó)安全培訓(xùn)與研究機(jī)構(gòu)SANS研究所最近確定了確保企業(yè)供應(yīng)鏈安全的關(guān)鍵組件,而這是行業(yè)專家認(rèn)為它們很重要的原因。
隨著網(wǎng)絡(luò)犯罪分子和黑客不斷攻擊安全性脆弱的企業(yè)或個(gè)人用戶,供應(yīng)鏈上的網(wǎng)絡(luò)攻擊不斷增加。正如SANS研究所在最近關(guān)于供應(yīng)鏈安全成功模式的報(bào)告中指出的那樣,許多備受矚目的安全事件表明了創(chuàng)建或升級(jí)供應(yīng)鏈安全的重要性。
•今年4月,許多美國(guó)公司的外包商Wipro公司的可信網(wǎng)絡(luò)遭到破壞,并被威脅參與者用來(lái)對(duì)這家印度公司的客戶發(fā)起網(wǎng)絡(luò)攻擊。
•今年5月,Adobe公司的Magento電子商務(wù)平臺(tái)和7,000多個(gè)業(yè)務(wù)應(yīng)用程序中的其他第三方服務(wù)遭到破壞,導(dǎo)致包括Ticketmaster公司在內(nèi)的許多公司的密碼和其他敏感信息被盜。
•今年5月,第三方承包商將敏感憑證暴露給Universal Music Group的內(nèi)部服務(wù)器,使存儲(chǔ)在這些服務(wù)器上的敏感信息面臨風(fēng)險(xiǎn)。
•今年7月,英國(guó)信息專員對(duì)英國(guó)航空公司處以2.3億美元罰款,占其2017年凈銷售額的1.5%,原因是該公司網(wǎng)站及其應(yīng)用程序中的惡意軟件感染,泄露了約50萬(wàn)名客戶的敏感信息。
SANS研究所新興趨勢(shì)總監(jiān)John Pescatore解釋說(shuō):“大約在四年前,當(dāng)網(wǎng)絡(luò)犯罪分子開(kāi)始攻擊供應(yīng)鏈以達(dá)到主要目標(biāo)時(shí),供應(yīng)鏈安全對(duì)于首席信息安全官變得更加重要。”他表示,最近由于一些國(guó)家對(duì)供應(yīng)鏈的網(wǎng)絡(luò)攻擊引起了媒體對(duì)該主題的興趣,供應(yīng)鏈安全問(wèn)題變得更加令人關(guān)注。
總部位于芝加哥的咨詢機(jī)構(gòu)Liberty Advisory Group公司的負(fù)責(zé)人ArmondÇaglar補(bǔ)充說(shuō):“威脅行為者越來(lái)越喜歡利用第三方供應(yīng)商和分包商的防御手段,因?yàn)檫@些實(shí)體經(jīng)常向黑客開(kāi)放。”
SANS研究所發(fā)布的報(bào)告確定了有效的供應(yīng)鏈安全計(jì)劃的五個(gè)關(guān)鍵措施:
1.確定供應(yīng)鏈負(fù)責(zé)人
SANS報(bào)告指出,安全性必須在管理鏈中確定供應(yīng)鏈決策的負(fù)責(zé)人,以確保安全性涉及未開(kāi)發(fā)地區(qū)的某個(gè)級(jí)別。這名負(fù)責(zé)人可能是企業(yè)董事會(huì)成員、首席執(zhí)行官、首席運(yùn)營(yíng)官、首席信息官或采購(gòu)主管。負(fù)責(zé)人需要獲得首席信息安全官或安全經(jīng)理與企業(yè)管理人員的信任,然后與他們合作,而不是試圖發(fā)布安全指令。
Çaglar指出,負(fù)責(zé)人必須被企業(yè)領(lǐng)導(dǎo)者認(rèn)為是可靠的,并應(yīng)與其他執(zhí)行利益相關(guān)者一起協(xié)商。他說(shuō):“沒(méi)有這樣的內(nèi)部政治力量,當(dāng)面對(duì)困擾大多數(shù)業(yè)務(wù)部門的傳統(tǒng)資源和預(yù)算限制時(shí),適當(dāng)?shù)墓?yīng)鏈計(jì)劃就可能被降級(jí)為另一個(gè)成本中心,而其風(fēng)險(xiǎn)緩解工作將被邊緣化。”
Webroot公司是一家保護(hù)計(jì)算機(jī)免受病毒、惡意軟件和網(wǎng)絡(luò)釣魚(yú)攻擊的軟件制造商,該公司工程部副總裁David Dufour補(bǔ)充說(shuō),不僅要有負(fù)責(zé)人,而且必須是合適的負(fù)責(zé)人。他解釋說(shuō):“供應(yīng)鏈安全的負(fù)責(zé)人應(yīng)該對(duì)安全有深入的了解,但他們的重點(diǎn)不是以安全為中心。他們還必須考慮到商業(yè)因素,并制定一個(gè)整體流程。”
SANS研究所的Pescatore承認(rèn),對(duì)于具有成熟安全狀況的大型公司來(lái)說(shuō)可能不需要這樣的負(fù)責(zé)人。他說(shuō):“大型公司并不需要IT部門和IT安全部門來(lái)證明他們能夠以業(yè)務(wù)發(fā)展的速度來(lái)實(shí)現(xiàn)供應(yīng)鏈安全。否則,業(yè)務(wù)人員會(huì)說(shuō),‘我們要承擔(dān)風(fēng)險(xiǎn)而不是失去市場(chǎng)份額。’”
2. 了解所有的供應(yīng)商
該報(bào)告解釋說(shuō),任何成功的安全計(jì)劃的基礎(chǔ)都始于資產(chǎn)管理、漏洞評(píng)估和配置控制。報(bào)告中指出,企業(yè)無(wú)法確保不知道的東西在那里,如果知道它在那里,則必須能夠檢測(cè)到風(fēng)險(xiǎn)狀態(tài)何時(shí)發(fā)生變化。
報(bào)告指出,在供應(yīng)鏈安全方面相當(dāng)于投資組合管理。這意味著要發(fā)現(xiàn)和了解供應(yīng)鏈所有合作伙伴(從第1層合作伙伴到擴(kuò)展的供應(yīng)商網(wǎng)絡(luò)),并定期評(píng)估漏洞并檢測(cè)暴露風(fēng)險(xiǎn)的變化。但是,這可能是一項(xiàng)艱巨的任務(wù)。
自動(dòng)威脅管理解決方案提供商Vectra Networks公司安全分析負(fù)責(zé)人Chris Morales說(shuō),“在某些組織中,收購(gòu)新供應(yīng)商可能就像人們使用信用卡并簽署為其提供特定利益的服務(wù)一樣簡(jiǎn)單。這些都是每天做出的決定,其中不包括安全審核或來(lái)自安全團(tuán)隊(duì)的建議。”
數(shù)字風(fēng)險(xiǎn)保護(hù)解決方案提供商Digital Shadows公司戰(zhàn)略副總裁Rick Holland補(bǔ)充說(shuō),評(píng)估供應(yīng)鏈?zhǔn)墙M織可以承擔(dān)的更具挑戰(zhàn)性的風(fēng)險(xiǎn)管理工作之一。他解釋說(shuō),“一家跨國(guó)公司很容易在其供應(yīng)鏈中擁有上千家公司。在數(shù)字化轉(zhuǎn)型時(shí)代,許多供應(yīng)鏈都由SaaS供應(yīng)商組成,這些供應(yīng)商比傳統(tǒng)的本地供應(yīng)商更容易替換。其結(jié)果是瞬態(tài)供應(yīng)鏈不斷發(fā)展。這進(jìn)一步增加復(fù)雜性,企業(yè)進(jìn)行的并購(gòu)活動(dòng)越多,其供應(yīng)鏈就越復(fù)雜。所有這些因素使供應(yīng)鏈風(fēng)險(xiǎn)管理成為一項(xiàng)艱巨的任務(wù)。”
3.擴(kuò)展多種供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估方法
該報(bào)告警告說(shuō),一般的風(fēng)險(xiǎn)評(píng)估方法不適用于大多數(shù)企業(yè)。為了支持業(yè)務(wù)響應(yīng)性需求,并能夠更持續(xù)地監(jiān)控風(fēng)險(xiǎn)水平,可能需要混合使用各種技術(shù),從快速的瀏覽到詳細(xì)深入的評(píng)估。
報(bào)告指出,在總體和供應(yīng)鏈管理中都繞開(kāi)了安全小組的一個(gè)原因是安全行動(dòng)太慢。它解釋說(shuō),企業(yè)經(jīng)常要求業(yè)務(wù)經(jīng)理承擔(dān)一定程度的風(fēng)險(xiǎn),因?yàn)閳?bào)告指出,供應(yīng)鏈安全計(jì)劃需要提供分級(jí)評(píng)估以支持業(yè)務(wù)需求。
網(wǎng)絡(luò)安全服務(wù)提供商PerimeterX公司安全宣傳員Deepak Patel說(shuō):“安全團(tuán)隊(duì)需要了解業(yè)務(wù)及其發(fā)展業(yè)務(wù)的要素。他們需要根據(jù)業(yè)務(wù)投入確定威脅的優(yōu)先級(jí)。”
Webroot的Dufour補(bǔ)充說(shuō):“許多安全團(tuán)隊(duì)的行動(dòng)確實(shí)太慢了。”
跨國(guó)網(wǎng)絡(luò)安全廠商Palo Alto Networks公司安全運(yùn)營(yíng)副總裁Eric Haller認(rèn)為,“行動(dòng)太慢”可能是糟糕計(jì)劃的明顯標(biāo)志。他說(shuō),“這是安全團(tuán)隊(duì)參與流程太晚并且沒(méi)有整合他們要求的征兆。與企業(yè)建立伙伴關(guān)系,及早參與并根據(jù)成果進(jìn)行調(diào)整是避免業(yè)務(wù)放緩的最佳方法。”
自動(dòng)化可以是避免速度下降的另一種方法。總部位于英國(guó)的全球乘車服務(wù)商Gett公司,其供應(yīng)商安全通過(guò)Panorays部署自動(dòng)化解決方案來(lái)解決。
Gett公司首席信息安全官Eyal Sasson解釋說(shuō):“該公司需要認(rèn)識(shí)到新系統(tǒng)已經(jīng)到位,必須經(jīng)過(guò)安全審查流程才能與供應(yīng)商合作。但是,在使用我們提供的解決方案一個(gè)月之后,考慮到自動(dòng)化解決方案提供的速度,該公司員工并沒(méi)有感覺(jué)他們?cè)诖诉^(guò)程出現(xiàn)麻煩。該平臺(tái)已成為整個(gè)供應(yīng)商的入職流程中不可或缺的一步。”
4.將儀表板和報(bào)表擴(kuò)展到業(yè)務(wù)部門和IT經(jīng)理
該報(bào)告建議,使用供應(yīng)鏈安全流程和工具向非安全人員提供當(dāng)前風(fēng)險(xiǎn)視圖的可見(jiàn)性,并使他們能夠?qū)L(fēng)險(xiǎn)信息納入他們的決策中。報(bào)告指出,應(yīng)將安全系統(tǒng)集成到任何現(xiàn)有流程中,以對(duì)供應(yīng)商和合作伙伴的財(cái)務(wù)或生存風(fēng)險(xiǎn)進(jìn)行評(píng)估。如果不存在任何系統(tǒng),這將持續(xù)進(jìn)行,那么報(bào)告視覺(jué)樣式或數(shù)據(jù)的供應(yīng)鏈安全性應(yīng)與采購(gòu)、物流和業(yè)務(wù)運(yùn)營(yíng)經(jīng)理所熟悉的形式盡可能相似。
LAG公司Çaglar說(shuō):“我們經(jīng)常聽(tīng)到這種說(shuō)法:安全性不是IT問(wèn)題。這是一個(gè)普遍的業(yè)務(wù)挑戰(zhàn),需要整個(gè)企業(yè)的利益相關(guān)者的接受和參與。業(yè)務(wù)部門往往負(fù)責(zé)為他們提供外包服務(wù)的供應(yīng)商的管理。各個(gè)業(yè)務(wù)部門的儀表板可訪問(wèn)性可以為風(fēng)險(xiǎn)較高的供應(yīng)商提供有價(jià)值的數(shù)據(jù),這些風(fēng)險(xiǎn)較高的供應(yīng)商會(huì)提出最高繼承風(fēng)險(xiǎn)的潛在區(qū)域以采取行動(dòng)。”
Caglar補(bǔ)充說(shuō):“這可以使業(yè)務(wù)部門堅(jiān)持采用某些技術(shù)或管理控制措施,以作為與供應(yīng)商持續(xù)開(kāi)展業(yè)務(wù)的條件,甚至可以作為潛在地重新協(xié)商服務(wù)水平協(xié)議條款的手段。”
5. 與供應(yīng)商達(dá)成一致
報(bào)告解釋說(shuō),很多制造商知道,淘汰劣質(zhì)供應(yīng)商并不是成功實(shí)施質(zhì)量控制計(jì)劃的前提。他們意識(shí)到自己必須需要獲得反饋意見(jiàn),以鼓勵(lì)所有供應(yīng)商采用更高質(zhì)量的流程。對(duì)于供應(yīng)鏈安全計(jì)劃也是如此。有效的供應(yīng)鏈安全計(jì)劃必須包括對(duì)供應(yīng)商的反饋以及對(duì)評(píng)估和評(píng)級(jí)結(jié)果的可見(jiàn)性,以糾正未解決的問(wèn)題并推動(dòng)整體改進(jìn)。
該報(bào)告提醒商業(yè)領(lǐng)袖,當(dāng)針對(duì)供應(yīng)鏈合作伙伴的攻擊成功時(shí),客戶將責(zé)任歸咎于企業(yè),而不是供應(yīng)鏈。對(duì)供應(yīng)鏈的大多數(shù)直接攻擊可以通過(guò)基本的安全措施加以阻止,還有一個(gè)關(guān)鍵的附加因素是,供應(yīng)鏈安全計(jì)劃需要納入靈活性,以便它們能夠以采購(gòu)決策的規(guī)模和速度進(jìn)行操作。
對(duì)于許多董事會(huì)和許多客戶來(lái)說(shuō)的一個(gè)好消息是,供應(yīng)鏈安全性是其首要任務(wù)。通過(guò)展示一種改進(jìn)或創(chuàng)建企業(yè)的供應(yīng)鏈安全計(jì)劃的戰(zhàn)略方法,安全管理人員可以獲得必要的變革支持,從而有意義、有效率地保證供應(yīng)鏈安全。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。