供应商安全是您业务的一部分吗？

最近，针对各种规模工业部门的网络攻击数量显着增加，风险继续沿着供应链蔓延。ESG对中端市场和企业制造组织的150名网络安全和IT专业人士进行的一项调查发现，53%的人表示他们的运营技术(OT)基础设施容易受到某种类型的网络攻击，而同样数量的人表示他们遭受过网络攻击或在过去12-24个月内影响其OT基础设施的其他安全事件。制造商是交织在一起的贸易伙伴网络的一部分，当他们受到损害时，其影响可能波及供应链中的所有各方。攻击对一级供应商的影响可能与攻击最初渗透到您自己的OT网络一样具有破坏性。生产线可能会关闭，从而产生巨大的成本，对收入产生负面影响，并导致声誉受损。多年来，威胁行为者一直利用供应链中的弱点作为渗透其他组织的垫脚石。我们都记得近十年前的Target安全漏洞，攻击者使用从HVAC系统提供商处窃取的凭据来访问Target的网络并横向移动，直到他们最终窃取了数百万客户的银行卡和个人信息。几年后，NotPetya勒索软件是另一场备受瞩目的供应链攻击，最初毒化了一家乌克兰会计师事务所的软件，后来影响了跨国公司，造成估计100亿美元的损失。最近，SolarWindsOrion软件泄漏和SUNBURST后门让威胁行为者可以访问世界各地的众多组织。攻击的范围和影响仍在了解中。行业行动供应链网络安全现在是各行业高管和安全领导者的首要考虑因素，政府机构、行业团体和监管机构正在采取行动以降低风险。随着COVID-19疫苗越来越接近现实，IBM发出针对COVID-19疫苗供应链的未知威胁行为者的警告，强调需要减少暴露于OT环境、增加攻击者能力以及供应链风险的紧迫性和严重性。在电力行业，“保护我们的电力”提出(PDF)端到端网络供应链风险管理模型框架作为监管机构使用的基准。从2024年7月起，欧盟生产的所有新车都将强制执行新的汽车行业网络安全法规(PDF)，日本和韩国也将实施类似的法规。目前正在制定新的网络安全标准，该标准将在汽车的整个生命周期内建立“设计网络安全”。安全领导者可以做什么供应链网络风险很复杂，跨越产品的整个生命周期——跨越设计、制造、分销、存储和维护。生命周期越长、越复杂，威胁行为者就越有机会通过瞄准供应链中安全性较低的元素来利用产品。由于供应链通常是全球性的并且跨越多个供应商层级，因此安全责任不在于单个组织。每个成员都可以发挥作用，这使得供应链网络风险尤其难以缓解。这就是为什么在制定业务连续性计划时，高管们需要超越自己的公司，考虑他们的直接供应商已经采取的安全措施，以及他们如何反过来管理和减轻他们的扩展供应商网络的风险。这五个步骤可以提供帮助：供应链网络风险很复杂，跨越产品的整个生命周期——包括设计、制造、分销、存储和维护。生命周期越长越复杂，威胁行为者通过瞄准链中安全性较低的元素来利用产品的机会就越大。由于供应链通常是全球性的并且跨越多个供应商层级，因此安全责任不在于单个组织。每个成员都可以发挥作用，这使得供应链网络风险尤其难以缓解。这就是为什么在制定业务连续性计划时，高管们需要超越自己的公司，考虑他们的直接供应商已经采取的安全措施，以及他们如何反过来管理和减轻他们的扩展供应商网络的风险。这五个步骤可以提供帮助。1.沟通与评价。管理这一关键风险首先要确定采购的内部责任并验证合作伙伴的流程安全性。这需要法律团队的参与，以及跨业务部门和地区的技术和业务线领导。决策者需要与供应链攻击相关的威胁情报，以便就业务风险做出明智的决策。安全采购和数据保护必须包含在与合作伙伴和内部利益相关者的有效沟通中。2.详细的操作可见性。考虑一种能够克服OT特定挑战的专业工业网络安全解决方案，这些挑战包括缺乏标准化技术、使用专有协议以及对关键流程中断的低容忍度。一个持续监控和检测整个OT网络威胁的平台，连接到您组织的现有安全网络，还连接到与您的供应链合作伙伴的所有接入点，将这种可见性扩展到所有关键方。3.一致的网络安全标准。跟上新出现的法规和标准以及新警报。遵循7月23日CISA警报中详述的行业特定建议，这有助于缓解因美国所有16个关键基础设施部门OT资产与互联网的连接性不断增强而导致的网络风险增加。4.加强网络安全联盟。鉴于当今的紧迫性，许多高管和董事会成员已将注意力转向运营问题，并越来越意识到为什么拥有正确的网络防御技术和流程对于确保可用性、可靠性和安全性至关重要。作为安全领导者，抓住时机获得跨职能部门的支持，以支持当前和未来的工业网络安全计划。5.协作方法。您的供应链是您的业务生态系统不可或缺的一部分。因此，它需要成为您的安全生态系统不可或缺的一部分，并受到相同级别的防御保护。基于云的解决方案简化了与主要供应链合作伙伴的安全连接。它们还可以更安全、更易于更新，并且可以更快地添加新功能。但是，即使由于监管要求在您的行业内向云计算的过渡不可行，您仍然可以设置基准并与您的供应链合作伙伴共享有关漏洞和卫生风险的报告和见解。那么，回到问题。“你的供应商的安全是你的事吗？”答案是肯定的。这不仅关系到您的业务，而且您业务的未来也可能受到威胁。幸运的是，您可以采取一些措施来降低风险，现在正是快速行动的好时机。