美国安全培训和研究机构SANS研究所最近确定了保护企业供应链安全的关键组成部分,这就是为什么行业专家认为他们是重要的。随着网络犯罪分子和黑客继续攻击易受攻击的企业或个人用户,供应链上的网络攻击正在增加。正如SANS研究所在其最近关于供应链安全成功模型的报告中指出的那样,许多备受瞩目的安全事件表明了创建或升级供应链安全的重要性。4月,许多美国公司的外包商Wipro的可信网络遭到破坏,并被威胁行为者用来对印度公司的客户发起网络攻击。5月,AdobeInc.的Magento电子商务平台和7,000多个商业应用程序中的其他第三方服务遭到破坏,导致包括TicketmasterInc.在内的公司的密码和其他敏感信息被盗。派对承包商将敏感凭证暴露给环球音乐集团的内部服务器,使存储在这些服务器上的敏感信息面临风险。7月,英国信息专员对英国航空公司处以2.3亿美元罚款,占其2017年净销售额的1.5%,原因是该公司网站及其应用程序感染了恶意软件,暴露了大约50万客户的敏感信息。SANSInstitute新兴趋势总监JohnPescatore解释说:“大约四年前,当网络犯罪分子开始攻击供应链以实现其主要目标时,供应链安全对CISO变得更加重要。”随着一些国家对供应链的网络攻击引起了媒体对这一话题的兴趣,供应链安全问题变得更加令人担忧。“威胁行为者越来越倾向于利用第三方供应商和分包商的防御,因为这些实体通常对黑客开放,”总部位于芝加哥的SANS研究所LibertyAdvisoryGroup的主管Armond?aglar补充道。已发布的报告确定了有效供应链安全计划的五个关键措施:1.确定供应链所有者区域的某个级别。此人可能是公司董事会成员、首席执行官、首席运营官、首席信息官或采购主管。负责人需要获得首席信息安全官或安全经理和业务主管的信任,然后与他们合作,而不是试图发布安全授权。?aglar指出,负责人必须被企业领导者视为可信的,并且应该与其他执行利益相关者进行磋商。“如果没有这样的内部政治力量,当面临困扰大多数业务部门的传统资源和预算限制时,适当的供应链规划可以降级到另一个成本中心,而其风险缓解工作将被搁置,”他说。它不仅必须负责,而且必须是正确的人,”Webroot的工程副总裁DavidDufour补充说,Webroot是一家软件制造商,可保护计算机免受病毒、恶意软件和网络钓鱼攻击。“负责供应链安全的人员应该对安全有深刻的理解,但他们的重点不是以安全为中心。他们还必须考虑商业因素,并制定一个完整的流程,”他解释说,SANS研究所的Pescatore承认,具有成熟安全态势的大公司可能不需要这样的负责人。“大公司不需要IT部门和IT安全部门来证明他们能够以业务的速度实施供应链安全,”他说。“否则,业务人员会说,'我们宁愿承担风险也不愿失去市场份额。'”2.了解所有供应商该报告解释说,任何成功的安全计划的基础都始于资产管理、漏洞评估和配置控制。报告指出,组织不能确保他们不知道的东西在那里,如果他们知道它在那里,他们必须能够检测到风险状态何时发生变化。报告指出,相当于供应链安全方面的投资组合管理。这意味着发现和了解供应链中的所有合作伙伴(从一级合作伙伴到扩展供应商网络),并定期评估漏洞并检测暴露风险的变化。然而,这可能是一项艰巨的任务。自动化威胁管理供应商VectraNetworks的安全分析主管ChrisMorales说:“在一些组织中,收购一家新供应商就像人们拿一张信用卡并注册一项为他们提供特定好处的服务一样简单。”解决方案。决策是每天做出的,不包括安全审计或安全团队的建议。”数字风险保护解决方案提供商DigitalShadows的战略副总裁RickHolland补充说,评估供应链是组织可以承担的更具挑战性的任务之一。风险管理任务之一。他解释说:“一家跨国公司的供应链中可以轻松拥有数千家公司。在数字化转型时代,很多供应链都是由SaaS供应商组成的,相比传统本地供应商更容易被替代。结果是一个不断发展的瞬态供应链。这进一步增加了复杂性,公司进行的并购越多,其供应链就变得越复杂。所有这些因素使供应链风险管理成为一项艰巨的任务。3.扩展供应链风险评估的多种方法该报告警告说,通用的风险评估方法并不适合大多数企业。为了支持业务响应需求并实现对风险级别的更持续监控,需要结合各种技术,从快速浏览到详细的深入评估。报告指出,安全小组在整体管理和供应链管理中被绕过的原因之一是安全行动太慢。它解释说,企业经常要求业务经理承担一定程度的责任风险,因为报告指出供应链安全计划需要提供分级评估以支持业务需求。“安全团队需要了解业务以及发展业务所需的条件,”网络安全服务提供商PerimeterX的安全布道师DeepakPatel说。他们需要根据业务输入确定威胁的优先级。Webroot的Dufour补充说:“许多安全团队确实行动太慢。”跨国网络安全供应商PaloAltoNetworks的安全运营副总裁EricHaller表示,“行动太慢”可能是计划不周的明显迹象。这是安全团队参与流程太晚而没有整合他们的需求的症状,”他说。与企业建立合作伙伴关系,尽早参与并与结果保持一致是避免业务放缓的好方法。“自动化可以是另一种方式以避免减速。总部位于英国的全球乘车服务Gett通过Panorays部署自动化解决方案来解决供应商安全问题。Gett首席信息安全官EyalSasson解释说:“公司需要认识到新系统已经到位,并且必须通过安全审查流程才能与供应商合作。但是,在使用我们提供的解决方案一个月后,该公司的员工并不觉得他们是考虑到提供自动化解决方案的速度,流程出现问题。该平台已成为整个供应商入职流程中不可或缺的一步。4.将仪表板和报告扩展到业务部门和IT经理报告建议使用供应链安全流程和工具,让非安全人员了解他们当前的风险视图,并使他们能够将风险信息纳入他们的决策报告指出安全系统应集成到任何现有流程中,以评估供应商和合作伙伴的财务或生存风险。如果不存在系统,并且这种情况将继续存在,则供应链安全的报告视觉样式或数据应尽可能与采购、物流和业务运营经理所熟悉的相似。LAG公司?aglar表示:“我们经常听到这样的说法:安全不是IT问题。这是一项普遍存在的业务挑战,需要整个企业的利益相关者的支持和参与。业务部门通常负责为他们提供外包服务。供应商管理。跨业务部门的仪表板可访问性可以为风险较高的供应商提供有价值的数据,这些供应商可以提出潜在的最高继承风险领域,以采取行动,”Caglar补充说:“这可以使企业坚持某些技术或管理控制,作为与供应商,甚至作为潜在重新协商服务水平协议条款的一种手段。”5.与供应商达成一致该报告解释说,许多制造商都知道淘汰质量差的供应商并不是成功实施质量控制计划的先决条件。他们意识到他们必须获得反馈以鼓励所有供应商采用更高质量的流程。供应链安全计划也是如此。有效的供应链安全计划必须包括对供应商的反馈以及对评估和评级结果的可见性,以纠正突出问题并推动整体改进。该报告提醒企业领导者,当针对供应链合作伙伴的攻击得逞时,客户会将责任归咎于企业,而不是供应链。虽然可以通过基本的安全措施来防止对供应链的大多数直接攻击,但还有一个关键的额外因素,即供应链安全计划需要具有灵活性,以便它们能够按照采购决策的规模和速度运作。对于许多董事会和客户来说,好消息是供应链安全是他们的首要任务。通过展示改进或创建组织的供应链安全计划的战略方法,安全主管可以获得必要的变革支持,以有意义和有效地保护供应链。
