最近,各种规模的针对工业领域的网络攻击数量在显著增加,风险在供应链上不断蔓延。ESG对中型市场和企业制造机构的150名网络安全和IT专业人士进行的调查发现,53%的人表示他们的运营技术(OT)基础设施容易受到某种类型的网络攻击,而同样数量的人表示,他们在过去12-24个月内已经遭受了网络攻击或其他安全事件,影响了他们的OT基础设施。
制造商是贸易伙伴网络的一部分,这些网络相互交织,当它们受到损害时,影响会波及供应链中的所有各方。对一级供应商的攻击所造成的影响可能与攻击最初渗透到您自己的OT网络一样具有破坏性。生产线可能会被关闭,产生巨大的成本,对收入产生负面影响,并导致声誉受损。
多年来,威胁行为者一直利用供应链中的薄弱环节,作为渗透到其他组织的踏脚石。我们都还记得近十年前的Target安全漏洞事件,攻击者利用从暖通空调系统供应商处窃取的凭证进入Target的网络,并横向移动,直至最终窃取数百万客户的银行卡和个人信息。几年后,NotPetya勒索软件是另一个备受瞩目的供应链攻击,它最初毒害了一家乌克兰会计公司的软件,后来影响到跨国公司,估计造成100亿美元的损失。最近,SolarWinds Orion软件泄露和SUNBURST后门使得威胁行为者能够进入全球众多组织。此次攻击的范围和影响仍在了解中。
行业行动
供应链网络安全目前已成为各行业高管和安全领导者的首要考虑因素,政府机构、行业团体和监管机构也在采取行动,努力降低风险。随着COVID-19疫苗离现实越来越近,IBM发布了针对COVID-19疫苗供应链的未知威胁行为者的警告,强调了减少OT环境暴露的必要性、攻击者能力的增强以及供应链风险的紧迫性和严重性。在电力行业内,"保护我们的电力 "提出了(PDF)一个端到端的网络供应链风险管理模型框架,作为监管机构使用的基线。新的汽车行业网络安全法规(PDF)将从2024年7月起强制要求所有在欧盟生产的新车遵守,日本和韩国也将实施类似的规定。而新的网络安全标准将在汽车的整个生命周期内建立 "网络安全设计",目前正在制定中。
安全领导者可以做什么
供应链网络风险是复杂的,跨越产品的整个生命周期--跨越设计、制造、分销、存储和维护。生命周期越长、越复杂,威胁行为者就有更多机会通过针对供应链中不太安全的元素来利用产品。由于供应链通常是全球性的,并跨越多个层级的供应商,因此安全责任并不是由单一组织承担的。每个成员都要扮演一个角色,这使得供应链的网络风险在缓解方面特别具有挑战性。
这就是为什么在制定业务连续性计划时,高管们需要将目光投向自己公司之外,还要考虑其直属供应商所采取的安全措施,以及他们如何反过来管理和缓解其扩展的供应商网络的风险。这五个步骤可以提供帮助:供应链网络风险很复杂,横跨产品的整个生命周期--跨越设计、制造、分销、存储和维护。生命周期越长、越复杂,威胁行为者就越有机会通过针对链中不太安全的元素来利用产品。由于供应链通常是全球性的,并跨越多个层级的供应商,因此安全责任并不是由单一组织承担的。每个成员都要扮演一个角色,这使得供应链的网络风险在缓解方面特别具有挑战性。
这就是为什么在制定业务连续性计划时,高管们需要将目光投向自己公司之外,还要考虑其直属供应商所采取的安全措施,以及他们如何反过来管理和缓解其扩展的供应商网络的风险。这五个步骤可以提供帮助。
1. 沟通和评估。管理这一关键风险首先要确定采购的内部责任,并核实合作伙伴的流程安全。这就需要法律团队的参与,此外还需要各业务单位和地域的技术和业务线领导的参与。决策者需要与供应链攻击相关的威胁情报,以便对业务风险做出明智的决策。安全采购和数据保护必须包裹在与合作伙伴和内部利益相关者的有效沟通中。
2. 详细的操作可视性。考虑一个专门的工业网络安全解决方案,能够克服OT特有的挑战,其中包括缺乏标准化技术,使用专有协议,以及对关键流程中断的低容忍度。一个能够持续监控和检测整个OT网络威胁的平台,连接到您组织现有的安全网络,并且还连接到与您的供应链合作伙伴的所有接入点,将这种可见性扩展到所有关键方。
3. 一致的网络安全标准。跟上新出现的法规和标准以及新的警报。遵循7月23日CISA警报中详述的行业特定建议,这有助于减轻美国所有16个关键基础设施部门的OT资产与互联网日益增长的连接所驱动的网络风险增加。
4. 加强网络安全联盟。鉴于当前的关键紧迫性,许多高管和董事会成员已经开始关注运营问题,并更加意识到为什么拥有正确的网络防御技术和流程对于确保可用性、可靠性和安全性至关重要。作为安全领导者,应抓住时机,为支持当前和未来的工业网络安全计划争取跨职能部门的认同。
5. 协作方式。你的供应链是你的商业生态系统的一个组成部分。因此,它需要成为您的安全生态系统的一个组成部分,并以相同的防御水平进行保护。基于云的解决方案简化了与关键供应链合作伙伴的安全连接。它们也可以更安全,更容易更新,并有更快的新功能添加。但是,即使由于监管要求,在您的行业内向云计算过渡还不可行,您仍然可以设置基准,并与您的供应链合作伙伴分享有关漏洞和卫生风险的报告和见解。
那么,回到问题上来。"你的供应商的安全是你的业务吗?" 答案是肯定的。它不仅是您的业务,而且您的业务的未来可能会受到威胁。幸运的是,您可以采取一些措施来降低风险,而且现在正是快速行动的好时机。