美国安全培训与研究机构SANS研究所最近确定了确保企业供应链安全的关键组件,而这是行业专家认为它们很重要的原因。
随着网络犯罪分子和黑客不断攻击安全性脆弱的企业或个人用户,供应链上的网络攻击不断增加。正如SANS研究所在最近关于供应链安全成功模式的报告中指出的那样,许多备受瞩目的安全事件表明了创建或升级供应链安全的重要性。
- 今年4月,许多美国公司的外包商Wipro公司的可信网络遭到破坏,并被威胁参与者用来对这家印度公司的客户发起网络攻击。
- 今年5月,Adobe公司的Magento电子商务平台和7,000多个业务应用程序中的其他第三方服务遭到破坏,导致包括Ticketmaster公司在内的许多公司的密码和其他敏感信息被盗。
- 今年5月,第三方承包商将敏感凭证暴露给Universal Music Group的内部服务器,使存储在这些服务器上的敏感信息面临风险。
- 今年7月,英国信息专员对英国航空公司处以2.3亿美元罚款,占其2017年净销售额的1.5%,原因是该公司网站及其应用程序中的恶意软件感染,泄露了约50万名客户的敏感信息。
SANS研究所新兴趋势总监John Pescatore解释说:“大约在四年前,当网络犯罪分子开始攻击供应链以达到主要目标时,供应链安全对于首席信息安全官变得更加重要。”他表示,最近由于一些国家对供应链的网络攻击引起了媒体对该主题的兴趣,供应链安全问题变得更加令人关注。
总部位于芝加哥的咨询机构Liberty Advisory Group公司的负责人ArmondÇaglar补充说:“威胁行为者越来越喜欢利用第三方供应商和分包商的防御手段,因为这些实体经常向黑客开放。”
SANS研究所发布的报告确定了有效的供应链安全计划的五个关键措施:
1.确定供应链负责人
SANS报告指出,安全性必须在管理链中确定供应链决策的负责人,以确保安全性涉及未开发地区的某个级别。这名负责人可能是企业董事会成员、首席执行官、首席运营官、首席信息官或采购主管。负责人需要获得首席信息安全官或安全经理与企业管理人员的信任,然后与他们合作,而不是试图发布安全指令。
Çaglar指出,负责人必须被企业领导者认为是可靠的,并应与其他执行利益相关者一起协商。他说:“没有这样的内部政治力量,当面对困扰大多数业务部门的传统资源和预算限制时,适当的供应链计划就可能被降级为另一个成本中心,而其风险缓解工作将被边缘化。”
Webroot公司是一家保护计算机免受病毒、恶意软件和网络钓鱼攻击的软件制造商,该公司工程部副总裁David Dufour补充说,不仅要有负责人,而且必须是合适的负责人。他解释说:“供应链安全的负责人应该对安全有深入的了解,但他们的重点不是以安全为中心。他们还必须考虑到商业因素,并制定一个整体流程。”
SANS研究所的Pescatore承认,对于具有成熟安全状况的大型公司来说可能不需要这样的负责人。他说:“大型公司并不需要IT部门和IT安全部门来证明他们能够以业务发展的速度来实现供应链安全。否则,业务人员会说,‘我们要承担风险而不是失去市场份额。’”
2. 了解所有的供应商
该报告解释说,任何成功的安全计划的基础都始于资产管理、漏洞评估和配置控制。报告中指出,企业无法确保不知道的东西在那里,如果知道它在那里,则必须能够检测到风险状态何时发生变化。
报告指出,在供应链安全方面相当于投资组合管理。这意味着要发现和了解供应链所有合作伙伴(从第1层合作伙伴到扩展的供应商网络),并定期评估漏洞并检测暴露风险的变化。但是,这可能是一项艰巨的任务。
自动威胁管理解决方案提供商Vectra Networks公司安全分析负责人Chris Morales说,“在某些组织中,收购新供应商可能就像人们使用信用卡并签署为其提供特定利益的服务一样简单。这些都是每天做出的决定,其中不包括安全审核或来自安全团队的建议。”
数字风险保护解决方案提供商Digital Shadows公司战略副总裁Rick Holland补充说,评估供应链是组织可以承担的更具挑战性的风险管理工作之一。他解释说,“一家跨国公司很容易在其供应链中拥有上千家公司。在数字化转型时代,许多供应链都由SaaS供应商组成,这些供应商比传统的本地供应商更容易替换。其结果是瞬态供应链不断发展。这进一步增加复杂性,企业进行的并购活动越多,其供应链就越复杂。所有这些因素使供应链风险管理成为一项艰巨的任务。”
3.扩展多种供应链风险评估方法
该报告警告说,一般的风险评估方法不适用于大多数企业。为了支持业务响应性需求,并能够更持续地监控风险水平,可能需要混合使用各种技术,从快速的浏览到详细深入的评估。
报告指出,在总体和供应链管理中都绕开了安全小组的一个原因是安全行动太慢。它解释说,企业经常要求业务经理承担一定程度的风险,因为报告指出,供应链安全计划需要提供分级评估以支持业务需求。
网络安全服务提供商PerimeterX公司安全宣传员Deepak Patel说:“安全团队需要了解业务及其发展业务的要素。他们需要根据业务投入确定威胁的优先级。”
Webroot的Dufour补充说:“许多安全团队的行动确实太慢了。”
跨国网络安全厂商Palo Alto Networks公司安全运营副总裁Eric Haller认为,“行动太慢”可能是糟糕计划的明显标志。他说,“这是安全团队参与流程太晚并且没有整合他们要求的征兆。与企业建立伙伴关系,及早参与并根据成果进行调整是避免业务放缓的好方法。”
自动化可以是避免速度下降的另一种方法。总部位于英国的全球乘车服务商Gett公司,其供应商安全通过Panorays部署自动化解决方案来解决。
Gett公司首席信息安全官Eyal Sasson解释说:“该公司需要认识到新系统已经到位,必须经过安全审查流程才能与供应商合作。但是,在使用我们提供的解决方案一个月之后,考虑到自动化解决方案提供的速度,该公司员工并没有感觉他们在此过程出现麻烦。该平台已成为整个供应商的入职流程中不可或缺的一步。”
4.将仪表板和报表扩展到业务部门和IT经理
该报告建议,使用供应链安全流程和工具向非安全人员提供当前风险视图的可见性,并使他们能够将风险信息纳入他们的决策中。报告指出,应将安全系统集成到任何现有流程中,以对供应商和合作伙伴的财务或生存风险进行评估。如果不存在任何系统,这将持续进行,那么报告视觉样式或数据的供应链安全性应与采购、物流和业务运营经理所熟悉的形式尽可能相似。
LAG公司Çaglar说:“我们经常听到这种说法:安全性不是IT问题。这是一个普遍的业务挑战,需要整个企业的利益相关者的接受和参与。业务部门往往负责为他们提供外包服务的供应商的管理。各个业务部门的仪表板可访问性可以为风险较高的供应商提供有价值的数据,这些风险较高的供应商会提出最高继承风险的潜在区域以采取行动。”
Caglar补充说:“这可以使业务部门坚持采用某些技术或管理控制措施,以作为与供应商持续开展业务的条件,甚至可以作为潜在地重新协商服务水平协议条款的手段。”
5. 与供应商达成一致
报告解释说,很多制造商知道,淘汰劣质供应商并不是成功实施质量控制计划的前提。他们意识到自己必须需要获得反馈意见,以鼓励所有供应商采用更高质量的流程。对于供应链安全计划也是如此。有效的供应链安全计划必须包括对供应商的反馈以及对评估和评级结果的可见性,以纠正未解决的问题并推动整体改进。
该报告提醒商业领袖,当针对供应链合作伙伴的攻击成功时,客户将责任归咎于企业,而不是供应链。对供应链的大多数直接攻击可以通过基本的安全措施加以阻止,还有一个关键的附加因素是,供应链安全计划需要纳入灵活性,以便它们能够以采购决策的规模和速度进行操作。
对于许多董事会和许多客户来说的一个好消息是,供应链安全性是其首要任务。通过展示一种改进或创建企业的供应链安全计划的战略方法,安全管理人员可以获得必要的变革支持,从而有意义、有效率地保证供应链安全。