John P. Mello, Jr.

犯罪分子和國(guó)家資助的黑客一直在尋找易受攻擊的目標(biāo)，導(dǎo)致對(duì)供應(yīng)鏈的網(wǎng)絡(luò)攻擊也在持續(xù)增加。正如SANS研究所最近在一份關(guān)于供應(yīng)鏈安全成功模式的報(bào)告中指出的那樣，一些轟動(dòng)性的事件表明了建立安全供應(yīng)鏈并經(jīng)常進(jìn)行更新的重要性。

·去年4月，很多美國(guó)企業(yè)的外包商—印度Wipro公司的可信網(wǎng)絡(luò)被攻破了，并被犯罪分子所利用，對(duì)這家印度公司的客戶發(fā)動(dòng)了網(wǎng)絡(luò)攻擊。

·去年5月，Adobe旗下的Magento電子商務(wù)平臺(tái)以及7000多個(gè)商業(yè)應(yīng)用程序中的其他第三方服務(wù)遭到攻擊，導(dǎo)致Ticketmaster等多家公司的密碼和其他敏感信息被盜。

·去年5月，一家第三方承包商向環(huán)球音樂(lè)集團(tuán)（Universal Music Group）的內(nèi)部服務(wù)器公開了敏感證書，導(dǎo)致存儲(chǔ)在這些服務(wù)器上的敏感信息面臨很大的風(fēng)險(xiǎn)。

·去年7月，英國(guó)信息專業(yè)委員會(huì)對(duì)英國(guó)航空公司（British Airways）處以2.3億美元的罰款，占其2017年凈銷售額的1.5%，原因是該公司網(wǎng)站及其應(yīng)用程序被惡意軟件感染，導(dǎo)致大約50萬(wàn)名客戶的敏感信息被轉(zhuǎn)移到了惡意網(wǎng)站。

該報(bào)告的作者、SANS新興趨勢(shì)主管John Pescatore解釋道：“大約4年前，網(wǎng)絡(luò)犯罪分子開始以供應(yīng)鏈作為攻擊重要目標(biāo)的一種方式，供應(yīng)鏈安全對(duì)于首席信息安全官而言變得更為重要了?！彼f(shuō)，供應(yīng)鏈安全最近備受關(guān)注，原因是一些民族國(guó)家對(duì)供應(yīng)鏈的攻擊激起了媒體對(duì)這方面的興趣。

總部位于芝加哥的咨詢公司Liberty咨詢集團(tuán)（LAG）負(fù)責(zé)人Armond ?aglar補(bǔ)充道：“犯罪分子越來(lái)越傾向于利用第三方供應(yīng)商和分包商的漏洞，因?yàn)檫@些實(shí)體的防御措施往往形同虛設(shè)?！?/p>

SANS報(bào)告研究確定了有效供應(yīng)鏈安全項(xiàng)目的五個(gè)關(guān)鍵因素：

1.明確供應(yīng)鏈安全責(zé)任人

SANS的報(bào)告指出，在管理鏈中必須有人負(fù)責(zé)安全問(wèn)題，涉及到供應(yīng)鏈安全的決策一定是由高層做出的。這位關(guān)鍵人物可以是董事會(huì)成員、首席執(zhí)行官、首席運(yùn)營(yíng)官、首席信息官或者采購(gòu)主管。要培養(yǎng)這類責(zé)任人，首先要求首席信息安全官或者安全管理人員與管理層建立信任，然后與他們合作，而不能只是發(fā)布安全指令就算完成工作了。

?aglar指出，責(zé)任人應(yīng)受到其上層決策者的信任，并且應(yīng)該與其他相關(guān)高管平起平坐。他說(shuō)：“如果沒(méi)有這樣的內(nèi)部行政機(jī)制，當(dāng)面臨困擾很多業(yè)務(wù)部門的傳統(tǒng)資源和預(yù)算限制問(wèn)題時(shí)，一個(gè)合適的供應(yīng)鏈項(xiàng)目可能會(huì)被歸類為高成本項(xiàng)目，導(dǎo)致其風(fēng)險(xiǎn)緩解工作被擱置?！?p>

Webroot是一家保護(hù)計(jì)算機(jī)免受病毒、惡意軟件和網(wǎng)絡(luò)釣魚攻擊的軟件制造商，該公司工程副總裁David Dufour補(bǔ)充說(shuō)，不僅要有責(zé)任人，而且責(zé)任人必須是稱職的，這一點(diǎn)非常重要。他解釋說(shuō)：“供應(yīng)鏈安全的合適責(zé)任人應(yīng)該對(duì)安全有深入的了解，但他們關(guān)注的重點(diǎn)不應(yīng)僅以安全為中心。他們還必須考慮到業(yè)務(wù)因素，制訂一個(gè)非常全面的流程?！?/p>

SANS的Pescatore承認(rèn)，對(duì)于安全狀況比較成熟的大型公司來(lái)說(shuō)，可能不需要一個(gè)責(zé)任人。他說(shuō)：“大公司不需要像IT那樣的責(zé)任人，其職責(zé)應(yīng)由IT安全部門承擔(dān)起來(lái)，證明他們?nèi)缤瑯I(yè)務(wù)部門那樣，很快地實(shí)現(xiàn)供應(yīng)鏈安全。否則，業(yè)務(wù)部門會(huì)說(shuō)，‘我們寧愿承擔(dān)風(fēng)險(xiǎn)，也不愿失去市場(chǎng)份額。”

2.熟知自己的供應(yīng)商

報(bào)告解釋說(shuō)，任何成功安全項(xiàng)目的基礎(chǔ)都是從資產(chǎn)管理、漏洞評(píng)估和配置控制開始的。報(bào)告指出，如果你不了解要保護(hù)的東西，那就無(wú)法保證其安全，即使你了解了情況，還必須能檢測(cè)到風(fēng)險(xiǎn)態(tài)勢(shì)何時(shí)發(fā)生了變化。

報(bào)告接著指出，在供應(yīng)鏈安全中，相應(yīng)的是產(chǎn)品線管理。這意味著找到所有供應(yīng)鏈合作伙伴——從一級(jí)合作伙伴到供應(yīng)商擴(kuò)展網(wǎng)絡(luò)，并定期評(píng)估漏洞，檢測(cè)暴露風(fēng)險(xiǎn)有什么變化。不過(guò)，這可能是一項(xiàng)艱巨的任務(wù)。

自動(dòng)威脅管理解決方案提供商Vectra網(wǎng)絡(luò)公司的安全分析主管Chris Morales介紹說(shuō)：“在一些企業(yè)中，采用一家新供應(yīng)商就像人們使用信用卡那么簡(jiǎn)單，注冊(cè)某項(xiàng)服務(wù)，就能為自己帶來(lái)便利。企業(yè)每天都在做出類似的決定，但不包括安全部門的安全審計(jì)或者建議?！?/p>

提供數(shù)字風(fēng)險(xiǎn)保護(hù)解決方案的數(shù)字影子公司（Digital Shadows）戰(zhàn)略副總裁Rick Holland補(bǔ)充道，評(píng)估供應(yīng)鏈?zhǔn)瞧髽I(yè)可以承擔(dān)的風(fēng)險(xiǎn)管理工作中最具挑戰(zhàn)性的一項(xiàng)工作。他解釋說(shuō)：“一家跨國(guó)企業(yè)的供應(yīng)鏈中很容易就有1000多家公司。在數(shù)字化轉(zhuǎn)型時(shí)代，很多供應(yīng)鏈上都有SaaS供應(yīng)商，他們比傳統(tǒng)的本地供應(yīng)商更容易被取代。其結(jié)果是一個(gè)不斷演進(jìn)的瞬態(tài)供應(yīng)鏈。”

Holland繼續(xù)解釋說(shuō)：“更復(fù)雜的是，一家企業(yè)的并購(gòu)活動(dòng)越多，其供應(yīng)鏈就越復(fù)雜。所有這些因素都導(dǎo)致供應(yīng)鏈風(fēng)險(xiǎn)管理變成了一項(xiàng)艱巨的任務(wù)?！?h3>3.擴(kuò)展多供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估方法

報(bào)告提醒說(shuō)，通用的風(fēng)險(xiǎn)評(píng)估方法并不適用于大多數(shù)企業(yè)。報(bào)告解釋道，為了支持業(yè)務(wù)響應(yīng)需求并能夠更持續(xù)地監(jiān)控風(fēng)險(xiǎn)等級(jí)，可能需要結(jié)合使用各種方法——從快速的“第一眼”評(píng)估到詳細(xì)、深入的評(píng)估等。

報(bào)告繼續(xù)指出，無(wú)論是在整體上還是在供應(yīng)鏈管理方面，安全部門被忽視的一個(gè)普遍原因是“安全部門行動(dòng)太慢”。報(bào)告解釋說(shuō)，業(yè)務(wù)部門通常要求業(yè)務(wù)經(jīng)理能承受一定程度的風(fēng)險(xiǎn)，因?yàn)橥七t上市的風(fēng)險(xiǎn)更大。報(bào)告指出，供應(yīng)鏈安全計(jì)劃應(yīng)具備分層評(píng)估能力，以支持業(yè)務(wù)需求。

網(wǎng)絡(luò)安全服務(wù)提供商PerimeterX的安全拓展專員Deepak Patel說(shuō)：“安全部門應(yīng)了解業(yè)務(wù)以及促進(jìn)業(yè)務(wù)增長(zhǎng)的要素。他們應(yīng)根據(jù)業(yè)務(wù)輸入，對(duì)威脅進(jìn)行優(yōu)先級(jí)排序。”

Webroot公司的Dufour補(bǔ)充道：“很多安全部門的行動(dòng)確實(shí)太慢了。這好有一比，他們實(shí)際上只需要一輛自行車去商店買餅干，但卻建造了企業(yè)號(hào)星際飛船，要飛到別的太陽(yáng)系去。”

跨國(guó)網(wǎng)絡(luò)安全公司Palo Alto網(wǎng)絡(luò)公司負(fù)責(zé)安全運(yùn)維的副總裁Eric Haller認(rèn)為，“行動(dòng)太慢”其實(shí)是計(jì)劃不太好的一種跡象。他說(shuō)：“這是安全部門參與過(guò)程太晚，沒(méi)有整合業(yè)務(wù)部門需求的征兆。與業(yè)務(wù)部門建立合作伙伴關(guān)系，及早參與，并根據(jù)結(jié)果進(jìn)行調(diào)整，這是避免業(yè)務(wù)放緩的最佳方式?！?/p>

自動(dòng)化是避免行動(dòng)太慢的另一種方法。在總部位于英國(guó)的全球叫車服務(wù)公司Gett，因?yàn)椴渴鹆薖anorays公司的自動(dòng)化解決方案，從而解決了供應(yīng)鏈安全問(wèn)題。

其首席信息安全官Eyal Sasson解釋道：“公司需要認(rèn)識(shí)到一個(gè)新的系統(tǒng)已經(jīng)到位，并且必須通過(guò)安全審查程序才能與供應(yīng)商合作?！彼^續(xù)解釋說(shuō)，“然而，在使用了我們實(shí)施的解決方案一個(gè)月之后，由于自動(dòng)化解決方案的速度非?？?，員工們并沒(méi)有感覺(jué)到他們的過(guò)程中出現(xiàn)過(guò)小問(wèn)題。該平臺(tái)成為了整個(gè)供應(yīng)商進(jìn)入供應(yīng)鏈過(guò)程中不可或缺的一步?！?h3>4.擴(kuò)展儀表盤，并向業(yè)務(wù)部門和IT經(jīng)理報(bào)告

報(bào)告建議使用供應(yīng)鏈安全流程和工具，以可視化方式向非安全人員提供當(dāng)前風(fēng)險(xiǎn)視圖，使他們能夠在決策中納入風(fēng)險(xiǎn)信息。報(bào)告指出，應(yīng)該將安全系統(tǒng)集成到任何現(xiàn)有的過(guò)程中，以便對(duì)供應(yīng)商及合作伙伴的財(cái)務(wù)和生存能力風(fēng)險(xiǎn)進(jìn)行評(píng)估。而如果沒(méi)有安全系統(tǒng)，供應(yīng)鏈安全報(bào)告的可視化樣式或者可視化數(shù)據(jù)就應(yīng)該與采購(gòu)、物流和業(yè)務(wù)運(yùn)維經(jīng)理所熟悉的盡可能相似。

LAG的?aglar說(shuō)：“我們經(jīng)常聽到這種說(shuō)法，但這確實(shí)是事實(shí)：安全不是IT問(wèn)題。這是一個(gè)普遍的業(yè)務(wù)難題，需要企業(yè)所有相關(guān)方的接受和參與。”他繼續(xù)說(shuō)：“業(yè)務(wù)部門往往負(fù)責(zé)管理代表他們提供外包服務(wù)的供應(yīng)商。各個(gè)業(yè)務(wù)部門使用儀表盤，可以針對(duì)風(fēng)險(xiǎn)較高的供應(yīng)商生成有價(jià)值的數(shù)據(jù)，這些供應(yīng)商在某些方面累積了很高的風(fēng)險(xiǎn)，需要采取行動(dòng)了。”

?aglar補(bǔ)充說(shuō)：“這可以讓業(yè)務(wù)部門堅(jiān)持采用某些技術(shù)或者管理控制措施，作為與供應(yīng)商繼續(xù)開展業(yè)務(wù)的條件，甚至作為重新談判服務(wù)等級(jí)協(xié)議條款的手段。”

5.與供應(yīng)商保持閉環(huán)

報(bào)告解釋說(shuō)，制造商很早以前就知道，僅僅淘汰劣質(zhì)供應(yīng)商并不是成功實(shí)現(xiàn)質(zhì)量控制計(jì)劃的好方法。他們意識(shí)到他們必須“閉環(huán)”——提供反饋以鼓勵(lì)所有供應(yīng)商采用質(zhì)量更高的流程。

報(bào)告接著指出，供應(yīng)鏈安全計(jì)劃也是如此。一個(gè)有效的供應(yīng)鏈安全計(jì)劃必須包括針對(duì)供應(yīng)商的反饋，以及以可視化的方式提供評(píng)估和評(píng)級(jí)結(jié)果，目的是糾正未解決的問(wèn)題并從整體上推動(dòng)改進(jìn)。

報(bào)告提醒企業(yè)領(lǐng)導(dǎo)人，當(dāng)針對(duì)供應(yīng)鏈合作伙伴的攻擊取得成功時(shí)，客戶會(huì)責(zé)怪企業(yè)，而不是供應(yīng)鏈。報(bào)告指出，可以通過(guò)基本的安全環(huán)境防護(hù)措施來(lái)抵御針對(duì)供應(yīng)鏈的大多數(shù)直接攻擊，這是一個(gè)關(guān)鍵的基本因素。供應(yīng)鏈安全計(jì)劃應(yīng)非常靈活，只有這樣才能跟得上采購(gòu)決策的規(guī)模和速度。

報(bào)告補(bǔ)充說(shuō)，好消息是，對(duì)于很多董事會(huì)和客戶來(lái)說(shuō)，他們認(rèn)為供應(yīng)鏈安全是重中之重。報(bào)告還指出，通過(guò)展示一種改進(jìn)或者創(chuàng)建供應(yīng)鏈安全計(jì)劃的戰(zhàn)略方法，安全管理人員能夠獲得必要的變革支持，從而更有效地提高供應(yīng)鏈的安全性。

John Mello為很多網(wǎng)絡(luò)出版物撰寫技術(shù)和網(wǎng)絡(luò)安全方面的文章，曾任《波士頓商業(yè)雜志》和《波士頓鳳凰報(bào)》的總編輯。

原文網(wǎng)址

https：//www.csoonline.com/article/3449238/5-keys-to-protect-your-supply-chain-from-cyberattacks.html