信息化觀察網(wǎng)

犯罪分子和國家資助的黑客一直在尋找易受攻擊的目標(biāo)，導(dǎo)致對供應(yīng)鏈的網(wǎng)絡(luò)攻擊也在持續(xù)增加。正如SANS研究所最近在一份關(guān)于供應(yīng)鏈安全成功模式的報告中指出的那樣，一些轟動性的事件表明了建立安全供應(yīng)鏈并經(jīng)常進(jìn)行更新的重要性。

· 去年4月，很多美國企業(yè)的外包商—印度Wipro公司的可信網(wǎng)絡(luò)被攻破了，并被犯罪分子所利用，對這家印度公司的客戶發(fā)動了網(wǎng)絡(luò)攻擊。

· 去年5月，Adobe旗下的Magento電子商務(wù)平臺以及7000多個商業(yè)應(yīng)用程序中的其他第三方服務(wù)遭到攻擊，導(dǎo)致Ticketmaster等多家公司的密碼和其他敏感信息被盜。

· 去年5月，一家第三方承包商向環(huán)球音樂集團(tuán)（Universal Music Group）的內(nèi)部服務(wù)器公開了敏感證書，導(dǎo)致存儲在這些服務(wù)器上的敏感信息面臨很大的風(fēng)險。

· 去年7月，英國信息專業(yè)委員會對英國航空公司（British Airways）處以2.3億美元的罰款，占其2017年凈銷售額的1.5%，原因是該公司網(wǎng)站及其應(yīng)用程序被惡意軟件感染，導(dǎo)致大約50萬名客戶的敏感信息被轉(zhuǎn)移到了惡意網(wǎng)站。

該報告的作者、SANS新興趨勢主管John Pescatore解釋道：“大約4年前，網(wǎng)絡(luò)犯罪分子開始以供應(yīng)鏈作為攻擊重要目標(biāo)的一種方式，供應(yīng)鏈安全對于首席信息安全官而言變得更為重要了。”他說，供應(yīng)鏈安全最近備受關(guān)注，原因是一些人對供應(yīng)鏈的攻擊激起了媒體對這方面的興趣。

總部位于芝加哥的咨詢公司Liberty咨詢集團(tuán)（LAG）負(fù)責(zé)人Armond ?aglar補(bǔ)充道：“犯罪分子越來越傾向于利用第三方供應(yīng)商和分包商的漏洞，因為這些實體的防御措施往往形同虛設(shè)。”

SANS報告研究確定了有效供應(yīng)鏈安全項目的五個關(guān)鍵因素：

1.明確供應(yīng)鏈安全責(zé)任人

SANS的報告指出，在管理鏈中必須有人負(fù)責(zé)安全問題，涉及到供應(yīng)鏈安全的決策一定是由高層做出的。這位關(guān)鍵人物可以是董事會成員、首席執(zhí)行官、首席運營官、首席信息官或者采購主管。要培養(yǎng)這類責(zé)任人，首先要求首席信息安全官或者安全管理人員與管理層建立信任，然后與他們合作，而不能只是發(fā)布安全指令就算完成工作了。

Çaglar指出，責(zé)任人應(yīng)受到其上層決策者的信任，并且應(yīng)該與其他相關(guān)高管平起平坐。他說：“如果沒有這樣的內(nèi)部行政機(jī)制，當(dāng)面臨困擾很多業(yè)務(wù)部門的傳統(tǒng)資源和預(yù)算限制問題時，一個合適的供應(yīng)鏈項目可能會被歸類為高成本項目，導(dǎo)致其風(fēng)險緩解工作被擱置。”

Webroot是一家保護(hù)計算機(jī)免受病毒、惡意軟件和網(wǎng)絡(luò)釣魚攻擊的軟件制造商，該公司工程副總裁David Dufour補(bǔ)充說，不僅要有責(zé)任人，而且責(zé)任人必須是稱職的，這一點非常重要。他解釋說：“供應(yīng)鏈安全的合適責(zé)任人應(yīng)該對安全有深入的了解，但他們關(guān)注的重點不應(yīng)僅以安全為中心。他們還必須考慮到業(yè)務(wù)因素，制訂一個非常全面的流程。”

SANS的Pescatore承認(rèn)，對于安全狀況比較成熟的大型公司來說，可能不需要一個責(zé)任人。他說：“大公司不需要像IT那樣的責(zé)任人，其職責(zé)應(yīng)由IT安全部門承擔(dān)起來，證明他們?nèi)缤瑯I(yè)務(wù)部門那樣，很快地實現(xiàn)供應(yīng)鏈安全。否則，業(yè)務(wù)部門會說，‘我們寧愿承擔(dān)風(fēng)險，也不愿失去市場份額。’”

2.熟知自己的供應(yīng)商

報告解釋說，任何成功安全項目的基礎(chǔ)都是從資產(chǎn)管理、漏洞評估和配置控制開始的。報告指出，如果你不了解要保護(hù)的東西，那就無法保證其安全，即使你了解了情況，還必須能檢測到風(fēng)險態(tài)勢何時發(fā)生了變化。

報告接著指出，在供應(yīng)鏈安全中，相應(yīng)的是產(chǎn)品線管理。這意味著找到所有供應(yīng)鏈合作伙伴——從一級合作伙伴到供應(yīng)商擴(kuò)展網(wǎng)絡(luò)，并定期評估漏洞，檢測暴露風(fēng)險有什么變化。不過，這可能是一項艱巨的任務(wù)。

自動威脅管理解決方案提供商Vectra網(wǎng)絡(luò)公司的安全分析主管Chris Morales介紹說：“在一些企業(yè)中，采用一家新供應(yīng)商就像人們使用信用卡那么簡單，注冊某項服務(wù)，就能為自己帶來便利。企業(yè)每天都在做出類似的決定，但不包括安全部門的安全審計或者建議。”

提供數(shù)字風(fēng)險保護(hù)解決方案的數(shù)字影子公司（Digital Shadows）戰(zhàn)略副總裁Rick Holland補(bǔ)充道，評估供應(yīng)鏈?zhǔn)瞧髽I(yè)可以承擔(dān)的風(fēng)險管理工作中最具挑戰(zhàn)性的一項工作。他解釋說：“一家跨國企業(yè)的供應(yīng)鏈中很容易就有1000多家公司。在數(shù)字化轉(zhuǎn)型時代，很多供應(yīng)鏈上都有SaaS供應(yīng)商，他們比傳統(tǒng)的本地供應(yīng)商更容易被取代。其結(jié)果是一個不斷演進(jìn)的瞬態(tài)供應(yīng)鏈。”

Holland繼續(xù)解釋說：“更復(fù)雜的是，一家企業(yè)的并購活動越多，其供應(yīng)鏈就越復(fù)雜。所有這些因素都導(dǎo)致供應(yīng)鏈風(fēng)險管理變成了一項艱巨的任務(wù)。”

3.擴(kuò)展多供應(yīng)鏈風(fēng)險評估方法

報告提醒說，通用的風(fēng)險評估方法并不適用于大多數(shù)企業(yè)。報告解釋道，為了支持業(yè)務(wù)響應(yīng)需求并能夠更持續(xù)地監(jiān)控風(fēng)險等級，可能需要結(jié)合使用各種方法——從快速的“第一眼”評估到詳細(xì)、深入的評估等。

報告繼續(xù)指出，無論是在整體上還是在供應(yīng)鏈管理方面，安全部門被忽視的一個普遍原因是“安全部門行動太慢”。報告解釋說，業(yè)務(wù)部門通常要求業(yè)務(wù)經(jīng)理能承受一定程度的風(fēng)險，因為推遲上市的風(fēng)險更大。報告指出，供應(yīng)鏈安全計劃應(yīng)具備分層評估能力，以支持業(yè)務(wù)需求。

網(wǎng)絡(luò)安全服務(wù)提供商PerimeterX的安全拓展專員Deepak Patel說：“安全部門應(yīng)了解業(yè)務(wù)以及促進(jìn)業(yè)務(wù)增長的要素。他們應(yīng)根據(jù)業(yè)務(wù)輸入，對威脅進(jìn)行優(yōu)先級排序。”

Webroot公司的Dufour補(bǔ)充道：“很多安全部門的行動確實太慢了。這好有一比，他們實際上只需要一輛自行車去商店買餅干，但卻建造了企業(yè)號星際飛船，要飛到別的太陽系去。”

跨國網(wǎng)絡(luò)安全公司Palo Alto網(wǎng)絡(luò)公司負(fù)責(zé)安全運維的副總裁Eric Haller認(rèn)為，“行動太慢”其實是計劃不太好的一種跡象。他說：“這是安全部門參與過程太晚，沒有整合業(yè)務(wù)部門需求的征兆。與業(yè)務(wù)部門建立合作伙伴關(guān)系，及早參與，并根據(jù)結(jié)果進(jìn)行調(diào)整，這是避免業(yè)務(wù)放緩的最佳方式。”

自動化是避免行動太慢的另一種方法。在總部位于英國的全球叫車服務(wù)公司Gett，因為部署了Panorays公司的自動化解決方案，從而解決了供應(yīng)鏈安全問題。

其首席信息安全官Eyal Sasson解釋道：“公司需要認(rèn)識到一個新的系統(tǒng)已經(jīng)到位，并且必須通過安全審查程序才能與供應(yīng)商合作。”他繼續(xù)解釋說，“然而，在使用了我們實施的解決方案一個月之后，由于自動化解決方案的速度非?？?，員工們并沒有感覺到他們的過程中出現(xiàn)過小問題。該平臺成為了整個供應(yīng)商進(jìn)入供應(yīng)鏈過程中不可或缺的一步。”

4.擴(kuò)展儀表盤，并向業(yè)務(wù)部門和IT經(jīng)理報告

報告建議使用供應(yīng)鏈安全流程和工具，以可視化方式向非安全人員提供當(dāng)前風(fēng)險視圖，使他們能夠在決策中納入風(fēng)險信息。報告指出，應(yīng)該將安全系統(tǒng)集成到任何現(xiàn)有的過程中，以便對供應(yīng)商及合作伙伴的財務(wù)和生存能力風(fēng)險進(jìn)行評估。而如果沒有安全系統(tǒng)，供應(yīng)鏈安全報告的可視化樣式或者可視化數(shù)據(jù)就應(yīng)該與采購、物流和業(yè)務(wù)運維經(jīng)理所熟悉的盡可能相似。

LAG的Çaglar說：“我們經(jīng)常聽到這種說法，但這確實是事實：安全不是IT問題。這是一個普遍的業(yè)務(wù)難題，需要企業(yè)所有相關(guān)方的接受和參與。”他繼續(xù)說：“業(yè)務(wù)部門往往負(fù)責(zé)管理代表他們提供外包服務(wù)的供應(yīng)商。各個業(yè)務(wù)部門使用儀表盤，可以針對風(fēng)險較高的供應(yīng)商生成有價值的數(shù)據(jù)，這些供應(yīng)商在某些方面累積了很高的風(fēng)險，需要采取行動了。”

Çaglar補(bǔ)充說：“這可以讓業(yè)務(wù)部門堅持采用某些技術(shù)或者管理控制措施，作為與供應(yīng)商繼續(xù)開展業(yè)務(wù)的條件，甚至作為重新談判服務(wù)等級協(xié)議條款的手段。”

5.與供應(yīng)商保持閉環(huán)

報告解釋說，制造商很早以前就知道，僅僅淘汰劣質(zhì)供應(yīng)商并不是成功實現(xiàn)質(zhì)量控制計劃的好方法。他們意識到他們必須“閉環(huán)”——提供反饋以鼓勵所有供應(yīng)商采用質(zhì)量更高的流程。

報告接著指出，供應(yīng)鏈安全計劃也是如此。一個有效的供應(yīng)鏈安全計劃必須包括針對供應(yīng)商的反饋，以及以可視化的方式提供評估和評級結(jié)果，目的是糾正未解決的問題并從整體上推動改進(jìn)。

報告提醒企業(yè)領(lǐng)導(dǎo)人，當(dāng)針對供應(yīng)鏈合作伙伴的攻擊取得成功時，客戶會責(zé)怪企業(yè)，而不是供應(yīng)鏈。報告指出，可以通過基本的安全環(huán)境防護(hù)措施來抵御針對供應(yīng)鏈的大多數(shù)直接攻擊，這是一個關(guān)鍵的基本因素。供應(yīng)鏈安全計劃應(yīng)非常靈活，只有這樣才能跟得上采購決策的規(guī)模和速度。

報告補(bǔ)充說，好消息是，對于很多董事會和客戶來說，他們認(rèn)為供應(yīng)鏈安全是重中之重。報告還指出，通過展示一種改進(jìn)或者創(chuàng)建供應(yīng)鏈安全計劃的戰(zhàn)略方法，安全管理人員能夠獲得必要的變革支持，從而更有效地提高供應(yīng)鏈的安全性。

作者：John Mello為很多網(wǎng)絡(luò)出版物撰寫技術(shù)和網(wǎng)絡(luò)安全方面的文章，曾任《波士頓商業(yè)雜志》和《波士頓鳳凰報》的總編輯。

編譯：Charles

原文網(wǎng)址：https://www.csoonline.com/article/3449238/5-keys-to-protect-your-supply-chain-from-cyberattacks.html