美國(guó)安全培訓(xùn)與研究機(jī)構(gòu)SANS研究所最近確定了確保企業(yè)供應(yīng)鏈安全的關(guān)鍵組件，而這是行業(yè)專家認(rèn)為它們很重要的原因。

隨著網(wǎng)絡(luò)犯罪分子和黑客不斷攻擊安全性脆弱的企業(yè)或個(gè)人用戶，供應(yīng)鏈上的網(wǎng)絡(luò)攻擊不斷增加。

正如SANS研究所在最近關(guān)于供應(yīng)鏈安全成功模式的報(bào)告中指出的那樣，許多備受矚目的安全事件表明了創(chuàng)建或升級(jí)供應(yīng)鏈安全的重要性。

今年4月，許多美國(guó)公司的外包商Wipro公司的可信網(wǎng)絡(luò)遭到破壞，并被威脅參與者用來(lái)對(duì)這家印度公司的客戶發(fā)起網(wǎng)絡(luò)攻擊。

今年5月，Adobe公司的Magento電子商務(wù)平臺(tái)和7,000多個(gè)業(yè)務(wù)應(yīng)用程序中的其他第三方服務(wù)遭到破壞，導(dǎo)致包括Ticketmaster公司在內(nèi)的許多公司的密碼和其他敏感信息被盜。

今年5月，第三方承包商將敏感憑證暴露給Universal Music Group的內(nèi)部服務(wù)器，使存儲(chǔ)在這些服務(wù)器上的敏感信息面臨風(fēng)險(xiǎn)。

今年7月，英國(guó)信息專員對(duì)英國(guó)航空公司處以2.3億美元罰款，占其2017年凈銷(xiāo)售額的1.5%，原因是該公司網(wǎng)站及其應(yīng)用程序中的惡意軟件感染，泄露了約50萬(wàn)名客戶的敏感信息。

SANS研究所新興趨勢(shì)總監(jiān)John Pescatore解釋說(shuō)：“大約在四年前，當(dāng)網(wǎng)絡(luò)犯罪分子開(kāi)始攻擊供應(yīng)鏈以達(dá)到主要目標(biāo)時(shí)，供應(yīng)鏈安全對(duì)于首席信息安全官變得更加重要。

”他表示，最近由于一些國(guó)家對(duì)供應(yīng)鏈的網(wǎng)絡(luò)攻擊引起了媒體對(duì)該主題的興趣，供應(yīng)鏈安全問(wèn)題變得更加令人關(guān)注。

總部位于芝加哥的咨詢機(jī)構(gòu)Liberty Advisory Group公司的負(fù)責(zé)人ArmondÇaglar補(bǔ)充說(shuō)：“威脅行為者越來(lái)越喜歡利用第三方供應(yīng)商和分包商的防御手段，因?yàn)檫@些實(shí)體經(jīng)常向黑客開(kāi)放。

”SANS研究所發(fā)布的報(bào)告確定了有效的供應(yīng)鏈安全計(jì)劃的五個(gè)關(guān)鍵措施：1.確定供應(yīng)鏈負(fù)責(zé)人SANS報(bào)告指出，安全性必須在管理鏈中確定供應(yīng)鏈決策的負(fù)責(zé)人，以確保安全性涉及未開(kāi)發(fā)地區(qū)的某個(gè)級(jí)別。

這名負(fù)責(zé)人可能是企業(yè)董事會(huì)成員、首席執(zhí)行官、首席運(yùn)營(yíng)官、首席信息官或采購(gòu)主管。

負(fù)責(zé)人需要獲得首席信息安全官或安全經(jīng)理與企業(yè)管理人員的信任，然后與他們合作，而不是試圖發(fā)布安全指令。

Çaglar指出，負(fù)責(zé)人必須被企業(yè)領(lǐng)導(dǎo)者認(rèn)為是可靠的，并應(yīng)與其他執(zhí)行利益相關(guān)者一起協(xié)商。

他說(shuō)：“沒(méi)有這樣的內(nèi)部政治力量，當(dāng)面對(duì)困擾大多數(shù)業(yè)務(wù)部門(mén)的傳統(tǒng)資源和預(yù)算限制時(shí)，適當(dāng)?shù)墓?yīng)鏈計(jì)劃就可能被降級(jí)為另一個(gè)成本中心，而其風(fēng)險(xiǎn)緩解工作將被邊緣化。

”Webroot公司是一家保護(hù)計(jì)算機(jī)免受病毒、惡意軟件和網(wǎng)絡(luò)釣魚(yú)攻擊的軟件制造商，該公司工程部副總裁David Dufour補(bǔ)充說(shuō)，不僅要有負(fù)責(zé)人，而且必須是合適的負(fù)責(zé)人。

他解釋說(shuō)：“供應(yīng)鏈安全的負(fù)責(zé)人應(yīng)該對(duì)安全有深入的了解，但他們的重點(diǎn)不是以安全為中心。

他們還必須考慮到商業(yè)因素，并制定一個(gè)整體流程。

”SANS研究所的Pescatore承認(rèn)，對(duì)于具有成熟安全狀況的大型公司來(lái)說(shuō)可能不需要這樣的負(fù)責(zé)人。

他說(shuō)：“大型公司并不需要IT部門(mén)和IT安全部門(mén)來(lái)證明他們能夠以業(yè)務(wù)發(fā)展的速度來(lái)實(shí)現(xiàn)供應(yīng)鏈安全。

否則，業(yè)務(wù)人員會(huì)說(shuō)，‘我們要承擔(dān)風(fēng)險(xiǎn)而不是失去市場(chǎng)份額。

’”2. 了解所有的供應(yīng)商該報(bào)告解釋說(shuō)，任何成功的安全計(jì)劃的基礎(chǔ)都始于資產(chǎn)管理、漏洞評(píng)估和配置控制。

報(bào)告中指出，企業(yè)無(wú)法確保不知道的東西在那里，如果知道它在那里，則必須能夠檢測(cè)到風(fēng)險(xiǎn)狀態(tài)何時(shí)發(fā)生變化。

報(bào)告指出，在供應(yīng)鏈安全方面相當(dāng)于投資組合管理。

這意味著要發(fā)現(xiàn)和了解供應(yīng)鏈所有合作伙伴(從第1層合作伙伴到擴(kuò)展的供應(yīng)商網(wǎng)絡(luò))，并定期評(píng)估漏洞并檢測(cè)暴露風(fēng)險(xiǎn)的變化。

但是，這可能是一項(xiàng)艱巨的任務(wù)。

自動(dòng)威脅管理解決方案提供商Vectra Networks公司安全分析負(fù)責(zé)人Chris Morales說(shuō)，“在某些組織中，收購(gòu)新供應(yīng)商可能就像人們使用信用卡并簽署為其提供特定利益的服務(wù)一樣簡(jiǎn)單。

這些都是每天做出的決定，其中不包括安全審核或來(lái)自安全團(tuán)隊(duì)的建議。

”數(shù)字風(fēng)險(xiǎn)保護(hù)解決方案提供商Digital Shadows公司戰(zhàn)略副總裁Rick Holland補(bǔ)充說(shuō)，評(píng)估供應(yīng)鏈?zhǔn)墙M織可以承擔(dān)的更具挑戰(zhàn)性的風(fēng)險(xiǎn)管理工作之一。

他解釋說(shuō)，“一家跨國(guó)公司很容易在其供應(yīng)鏈中擁有上千家公司。

在數(shù)字化轉(zhuǎn)型時(shí)代，許多供應(yīng)鏈都由SaaS供應(yīng)商組成，這些供應(yīng)商比傳統(tǒng)的本地供應(yīng)商更容易替換。

其結(jié)果是瞬態(tài)供應(yīng)鏈不斷發(fā)展。

這進(jìn)一步增加復(fù)雜性，企業(yè)進(jìn)行的并購(gòu)活動(dòng)越多，其供應(yīng)鏈就越復(fù)雜。

所有這些因素使供應(yīng)鏈風(fēng)險(xiǎn)管理成為一項(xiàng)艱巨的任務(wù)。

”3.擴(kuò)展多種供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估方法該報(bào)告警告說(shuō)，一般的風(fēng)險(xiǎn)評(píng)估方法不適用于大多數(shù)企業(yè)。

為了支持業(yè)務(wù)響應(yīng)性需求，并能夠更持續(xù)地監(jiān)控風(fēng)險(xiǎn)水平，可能需要混合使用各種技術(shù)，從快速的瀏覽到詳細(xì)深入的評(píng)估。

報(bào)告指出，在總體和供應(yīng)鏈管理中都繞開(kāi)了安全小組的一個(gè)原因是安全行動(dòng)太慢。

它解釋說(shuō)，企業(yè)經(jīng)常要求業(yè)務(wù)經(jīng)理承擔(dān)一定程度的風(fēng)險(xiǎn)，因?yàn)閳?bào)告指出，供應(yīng)鏈安全計(jì)劃需要提供分級(jí)評(píng)估以支持業(yè)務(wù)需求。

網(wǎng)絡(luò)安全服務(wù)提供商PerimeterX公司安全宣傳員Deepak Patel說(shuō)：“安全團(tuán)隊(duì)需要了解業(yè)務(wù)及其發(fā)展業(yè)務(wù)的要素。

他們需要根據(jù)業(yè)務(wù)投入確定威脅的優(yōu)先級(jí)。

”Webroot的Dufour補(bǔ)充說(shuō)：“許多安全團(tuán)隊(duì)的行動(dòng)確實(shí)太慢了。

”跨國(guó)網(wǎng)絡(luò)安全廠商Palo Alto Networks公司安全運(yùn)營(yíng)副總裁Eric Haller認(rèn)為，“行動(dòng)太慢”可能是糟糕計(jì)劃的明顯標(biāo)志。

他說(shuō)，“這是安全團(tuán)隊(duì)參與流程太晚并且沒(méi)有整合他們要求的征兆。

與企業(yè)建立伙伴關(guān)系，及早參與并根據(jù)成果進(jìn)行調(diào)整是避免業(yè)務(wù)放緩的好方法。

”自動(dòng)化可以是避免速度下降的另一種方法。

總部位于英國(guó)的全球乘車(chē)服務(wù)商Gett公司，其供應(yīng)商安全通過(guò)Panorays部署自動(dòng)化解決方案來(lái)解決。

Gett公司首席信息安全官Eyal Sasson解釋說(shuō)：“該公司需要認(rèn)識(shí)到新系統(tǒng)已經(jīng)到位，必須經(jīng)過(guò)安全審查流程才能與供應(yīng)商合作。

但是，在使用我們提供的解決方案一個(gè)月之后，考慮到自動(dòng)化解決方案提供的速度，該公司員工并沒(méi)有感覺(jué)他們?cè)诖诉^(guò)程出現(xiàn)麻煩。

該平臺(tái)已成為整個(gè)供應(yīng)商的入職流程中不可或缺的一步。

”4.將儀表板和報(bào)表擴(kuò)展到業(yè)務(wù)部門(mén)和IT經(jīng)理該報(bào)告建議，使用供應(yīng)鏈安全流程和工具向非安全人員提供當(dāng)前風(fēng)險(xiǎn)視圖的可見(jiàn)性，并使他們能夠?qū)L(fēng)險(xiǎn)信息納入他們的決策中。

報(bào)告指出，應(yīng)將安全系統(tǒng)集成到任何現(xiàn)有流程中，以對(duì)供應(yīng)商和合作伙伴的財(cái)務(wù)或生存風(fēng)險(xiǎn)進(jìn)行評(píng)估。

如果不存在任何系統(tǒng)，這將持續(xù)進(jìn)行，那么報(bào)告視覺(jué)樣式或數(shù)據(jù)的供應(yīng)鏈安全性應(yīng)與采購(gòu)、物流和業(yè)務(wù)運(yùn)營(yíng)經(jīng)理所熟悉的形式盡可能相似。

LAG公司Çaglar說(shuō)：“我們經(jīng)常聽(tīng)到這種說(shuō)法：安全性不是IT問(wèn)題。

這是一個(gè)普遍的業(yè)務(wù)挑戰(zhàn)，需要整個(gè)企業(yè)的利益相關(guān)者的接受和參與。

業(yè)務(wù)部門(mén)往往負(fù)責(zé)為他們提供外包服務(wù)的供應(yīng)商的管理。

各個(gè)業(yè)務(wù)部門(mén)的儀表板可訪問(wèn)性可以為風(fēng)險(xiǎn)較高的供應(yīng)商提供有價(jià)值的數(shù)據(jù)，這些風(fēng)險(xiǎn)較高的供應(yīng)商會(huì)提出最高繼承風(fēng)險(xiǎn)的潛在區(qū)域以采取行動(dòng)。

”Caglar補(bǔ)充說(shuō)：“這可以使業(yè)務(wù)部門(mén)堅(jiān)持采用某些技術(shù)或管理控制措施，以作為與供應(yīng)商持續(xù)開(kāi)展業(yè)務(wù)的條件，甚至可以作為潛在地重新協(xié)商服務(wù)水平協(xié)議條款的手段。

”5. 與供應(yīng)商達(dá)成一致報(bào)告解釋說(shuō)，很多制造商知道，淘汰劣質(zhì)供應(yīng)商并不是成功實(shí)施質(zhì)量控制計(jì)劃的前提。

他們意識(shí)到自己必須需要獲得反饋意見(jiàn)，以鼓勵(lì)所有供應(yīng)商采用更高質(zhì)量的流程。

對(duì)于供應(yīng)鏈安全計(jì)劃也是如此。

有效的供應(yīng)鏈安全計(jì)劃必須包括對(duì)供應(yīng)商的反饋以及對(duì)評(píng)估和評(píng)級(jí)結(jié)果的可見(jiàn)性，以糾正未解決的問(wèn)題并推動(dòng)整體改進(jìn)。

該報(bào)告提醒商業(yè)領(lǐng)袖，當(dāng)針對(duì)供應(yīng)鏈合作伙伴的攻擊成功時(shí)，客戶將責(zé)任歸咎于企業(yè)，而不是供應(yīng)鏈。

對(duì)供應(yīng)鏈的大多數(shù)直接攻擊可以通過(guò)基本的安全措施加以阻止，還有一個(gè)關(guān)鍵的附加因素是，供應(yīng)鏈安全計(jì)劃需要納入靈活性，以便它們能夠以采購(gòu)決策的規(guī)模和速度進(jìn)行操作。

對(duì)于許多董事會(huì)和許多客戶來(lái)說(shuō)的一個(gè)好消息是，供應(yīng)鏈安全性是其首要任務(wù)。

通過(guò)展示一種改進(jìn)或創(chuàng)建企業(yè)的供應(yīng)鏈安全計(jì)劃的戰(zhàn)略方法，安全管理人員可以獲得必要的變革支持，從而有意義、有效率地保證供應(yīng)鏈安全。