随着数字化转型的不断深入,企业越来越依赖第三方软件、云服务和外包供应商,数字供应链的复杂性和脆弱性与日俱增。网络犯罪分子正锁定这些供应链,企图通过恶意软件、勒索软件和数据窃取活动获取非法利益。一旦供应链遭到破坏,企业将面临运营中断、数据泄露、财务损失和声誉受损的巨大风险。
是时候强化扩展的数字供应链安全防护了。
需求与合规双轮驱动
数字化转型推动着组织对第三方软件和服务的依赖日益增强,这不仅催生了更多隐蔽难测的漏洞与风险,也使数字供应链变得比以往更加复杂。特别是随着云计算的普及,企业更多地依赖基于云的服务。攻击者非常清楚,通过破坏供应链可以大幅提高攻击的效率和盈利能力,并将攻击的重点越来越多地转移到供应链上。
与此同时,各种法规对数字供应链安全提出了更多、更高的要求。比如。欧盟推出了数字运营恢复力法案(DORA)和网络安全指令2(NIS2)等法规,重点是确保供应链安全,并要求企业对其网络安全实践负责。
DORA专门针对IT服务提供商采取非常规范的方法,为金融机构及其供应商提供了明确的合规路径。它强调了解第三方风险作为保障运营连续性的更广泛努力的一部分。该法规旨在提高金融行业的运营恢复力。金融公司必须确定对其运营构成最大风险的系统和数据,并反向追溯攻击路径,将其扩展到供应链。
NIS2也强调了关键基础设施的供应链风险。其风险管理要求包括加强供应链安全政策,尽管不如DORA具体。同样,运营恢复力是主要目标,确保关键服务在受到攻击时仍能持续运行。
我国出台的《网络安全法》《网络安全审查办法》《关键信息基础设施安全保护条例》《软件供应链安全防范指南》等法规,也对软件供应链提出了诸多要求。其中,作为我国网络安全领域的基础性法律,《网络安全法》明确了网络产品和服务提供者的安全责任,包括禁止设置恶意程序、采取补救措施、告知报告义务等;同时强调关键信息基础设施运营者在采购网络产品和服务时需进行网络安全审查,并优先选择安全可信的产品和服务。
采用基于风险的供应链安全方法
从当前安全形势来看,所有组织都面临供应链漏洞的风险,并不存在针对供应链风险的万能解决方案。
数字供应链由于其互联系统、供应商和合作伙伴而容易受到网络威胁。这条链中任何一个环节的入侵都可能导致敏感数据泄露、运营中断,以及财务和声誉损失。
为了解决数字供应链延伸部分的安全性问题,组织应采取全面的方法,包括风险评估和管理、供应商评估和选择、持续监控和合规措施:
- 风险评估和管理:确定并评估整个供应链中潜在的风险,包括所有供应商、合作伙伴和第三方供应商。评估这些风险的潜在影响和可能性。
- 供应商评估和选择:制定严格的标准来选择供应商和合作伙伴,重点关注他们的安全标准、法规合规性和安全实践。
- 合同义务:在合同中加入安全条款,明确定义对安全措施、数据保护、事件响应和合规性的期望。
- 持续监控:使用监控工具和流程来跟踪供应商绩效、检测安全事件并验证是否符合安全标准。持续监控应延伸到第三方、第四方和第n方供应商,以提供更大的可见性并实现早期漏洞检测。
- 数据加密:对传输和存储的敏感数据进行加密,防止未经授权的访问。
- 访问控制:在供应链内部实施严格的访问控制和最小特权原则,限制对敏感信息和系统的访问。实施基于角色的访问控制(RBAC),根据个人角色限制访问。采用零信任方法,持续验证用户身份和访问级别。
- 事件响应计划:制定并维护全面的事件响应计划,其中包括针对供应链内安全入侵或中断的具体程序。对于确认的事件,及时向客户提供安全事件响应。
- 培训和意识:教育员工、供应商和合作伙伴了解网络安全最佳实践、防范网络钓鱼以及他们在维护供应链安全方面的角色。
- 备份和恢复:定期备份关键数据,并制定健全的恢复计划,以最大程度减少事件发生时的停机时间和数据损失。
- 合规性和审计:通过定期审计和评估供应链安全实践,确保符合相关法规和行业标准。
- 安全政策:实施符合行业最佳实践的安全政策,如ISO 27001、ISO 20243、SOC2和IEC 62443。这些政策应涵盖访问控制、安全教育、雇员验证、加密、网络隔离/分段、运营安全、物理安全和供应商管理。
- 自动化:自动化供应商入职和评估流程,节省时间并减少错误。使用集中式平台自动收集信息和评估,确保符合监管标准。
- 将安全性融入产品/服务设计:产品和服务的设计应确保数据的机密性、真实性、完整性和可用性。数据应在整个生命周期内受到保护,防止未经授权访问,并将安全性和隐私融入设计中。
组织还应了解新兴法规和框架,如我国的软件供应链安全防范指南及欧盟的DORA和NIS2等,它们强调供应链安全性,并要求企业对其网络安全做法负责。
网络韧性比预防更可行
防止攻击事件只是一个理想的状态,但并非总是可能。像臭名昭著的SolarWinds供应链攻击那样,恶意软件通过已安装的合法软件传播,这种情况非常难以阻止。
恢复力对于扩展数字供应链的安全至关重要,因为虽然网络安全措施可以帮助预防数据泄露和恶意活动,但恢复力则侧重于减轻攻击的影响,并假设违规是不可避免的。扩展供应链带来了复杂性和漏洞,使完全预防变得困难。
正如美国国家标准与技术研究院所言,现在问题不再仅仅是如何防止入侵,还包括如何降低攻击者利用其获取的信息的能力,以及如何从入侵事件中恢复。
因此,与预防相比,恢复力是一个更可行的目标。通过了解最大的威胁所在,组织可以优先考虑防御措施。采用像微分段等主动违规遏制措施,可以最小化网络攻击造成的损害,并确保业务连续性。
Dearing进一步解释说,将环境划分为安全区域,通过零信任实施严格的验证流程,将为攻击者利用可信第三方访问网络设置有效障碍。这样,已进入系统的攻击同样无法轻易实现横向移动来访问关键资产。这可防止威胁分子和恶意软件在网络中自由移动,并支持DORA和NIS2所强调的灵活、务实的安全管理和基于风险的方法。
在当前日益严峻的网络安全态势下,“防反”并重“的思路已经不仅局限于供应链安全。瑞数信息CTO马蔚彦就勒索软件防护话题接受安全牛访谈时也提出类似观点。他建议用户在加强基础防护能力的同时,优先构建反制能力,如勒索事件管理体系、系统备份、恢复能力、威胁检测等,在预算允许的情况下,进一步提升防护能力,形成完整的防护闭环,从而守住底线,减少损失。
如此可见,面对日益扩展和复杂的数字供应链,我们不能再将网络安全视为一个孤立的技术问题,而是要融入到商业运营和日常生活之中。一个供应链环节的疏漏,就可能引发连锁反应,造成难以估量的损失。因此,供应链安全需要整个生态系统的通力合作,积极应对供应链中的每一个薄弱环节。特别是要建立起网络恢复力,以确保在不可避免的入侵发生时,能够尽快重建防线,将损失降至最低。
