近日,美国国家标准与技术研究院(NIST)再次更新了《网络安全供应链风险管理》(C-SCRM)指南,提供供应链相关的趋势和最新信息攻击。指导企业有效管理软件供应链风险以及供应链攻击时如何应对的最佳实践。网络供应链风险管理(C-SCRM)是识别、评估和减轻与ICT产品和服务的供应链分布和互连相关的风险的过程。C-SCRM涵盖整个ICT生命周期:包括硬件、软件和信息保障,以及传统的供应链管理和供应链安全实践。目前,NIST已针对美国第14028号行政命令“改善全国网络安全”发布了“系统和组织网络安全供应链风险管理实践”。SystemandOrganizationalCyber??securitySupplyChainRiskManagementPractices明确指出,本出版物的目的是为企业提供有关如何识别、评估、选择和实施风险管理流程和减轻业务控制的指南,以帮助管理整个供应链风险的网络安全。“修订后的指南主要针对产品、软件和服务的收购方和最终用户,并为不同的受众提供建议:网络安全专家、负责企业风险管理的人员、采购人员、信息安全/网络安全/隐私、系统开发/工程/实施负责人和人员等。NIST的JonBoyens表示,管理供应链网络安全是一项永远存在的需求,当供应链受到勒索软件攻击时,制造商可能会因缺少关键组件而关闭,一家商店链也可能仅仅因为维护其空调系统的公司获得了其共享数据的访问权限而遭受数据泄露。本指南的主要受众将是产品、软件和服务的购买者和最终用户。如果您开始管理供应链的风险问题,那么这是一个从零到有的完整工具。NIST专家进一步强调了现代产品的重要性和服务供应链安全。毕竟,一台设备可能是在一个国家设计的,但它的部件可能是在全球多个国家/地区制造的,只要生产这些部件的公司之一发生安全事件,就可能会产生重大影响对整个供应链的产品和服务,大大增加了全球组织和链条的攻击面。例如,一家制造商可能会因为其中一家供应商受到勒索软件攻击而导致关键制造组件的供应中断,或者一家零售连锁店可能会因为维护其空调系统的公司遭受数据泄露而无法进入商店来自数据共享网站。参考来源:https://securityaffairs.co/wordpress/131066/laws-and-regulations/nist-supply-chain-guidance.html
