建立供应链网络安全的 10 点指南

随着全球供应链变得越来越数字化，公司面临来自无数间接来源的风险。一个系统的强大取决于它最薄弱的环节，黑客会精心搜寻以发现易受攻击的组件。

这种利用代价高昂。根据 IBM 的数据泄露安全成本报告，员工人数超过 25,000 人的企业泄露的平均总成本为 552 万美元，员工人数低于 500 人的组织的平均泄露总成本为 264 万美元。大多数公司向黑客支付他们要求的赎金。今年夏天，Colonial Pipeline Co. 和 JBS SA 分别向黑客支付了 440 万美元和 1100 万美元，用于在大规模网络攻击后恢复加密数据。

其他影响包括客户服务中断、信任受损和竞争优势丧失。

网络犯罪分子正在逃避障碍并发现弱点，以比以往任何时候都更有效地利用供应链。在 Colonial Pipeline 的案例中，黑客滥用了仅需要单因素身份验证的传统虚拟专用网络 (VPN) 配置文件。

攻击不仅会削弱公司，还会伤害客户。 80% 的违规行为涉及个人身份信息 (PII)。黑客使用 PII 和密码来访问个人在网络上的各种帐户。此外，供应链的任何中断（无论是您的企业还是第三方或第四方供应商）都会影响商品和服务的生产，同时也会推高价格。

在 CrowdStrike 安全报告（一项针对 1,000 多名参与者的调查）中，三分之二的高级 IT 决策者和网络安全专业人员透露，他们的组织经历了软件供应链攻击。同样的数字承认他们的公司没有充分准备好防范未来的违规行为。企业必须积极主动，专注于建立网络弹性以防止被利用。

美国商务部下属的国家标准与技术研究院 (NIST) 建议采取以下步骤来妥善保护 IT 资产。

识别

通过进行内部风险和漏洞评估，找到潜在的威胁媒介——恶意攻击可能采取的途径来突破您的防御并感染您的网络。考虑聘请一家公司进行高级评估。

保护

采取必要的措施来保护您的组织并防止威胁事件：

• 减少曝光。 除了防火墙和防病毒软件提供的基本保护外，建立特权访问程序也很重要。遵循最小权限原则 - 只有需要访问敏感数据的员工才被允许访问。

行为分析、端点检测和响应 (EDR)、人工智能 (AI) 和威胁情报等工具可以加强防御。公司应采用安全编码实践并参考开放 Web 应用程序安全项目 (OWASP) 十大 Web 应用程序安全风险。

• 员工承诺和培训。 员工是网络安全的最后一道防线，也是最常见的威胁媒介之一。让每位员工都参与进来至关重要；行政套房也不例外。在员工中建立一种健康的怀疑文化。这种方法可能看起来过于偏执，但风险可能很高。

开展意识培训和内部网络钓鱼活动，让员工接触最新的垃圾邮件和社会工程技术。任何陷入网络钓鱼活动的员工都应立即接受培训。灌输强大的密码文化，让员工拥有不同且安全的密码。确保他们了解，如果密码在一个地方遭到破坏，黑客就有可能并且相对简单地在与同一电子邮件关联的其他帐户上使用该密码。

有无数有用（且免费）的网络安全资源可用于补充员工学习并让员工了解最新的行业趋势，例如美国国土部提供的虚拟培训模块安全。

• 保险。 确保您有足够的保险，以防万一。一些保险提供商包括勒索软件保护。询问网络攻击未涵盖哪些内容。
• 物理安全 .保护人员、硬件、软件、网络和数据免受物理侵入和操作。考虑使用监控摄像头、保安、安全系统、屏障、锁、门禁卡、火警、洒水装置和其他旨在保护员工和财产的系统等解决方案。

谨防捎带。为一个双手捧着走进办公室的人打开门似乎很礼貌，但这构成了安全威胁。确保进入公司场所的每个人都是授权人员。

• 选择性业务关系 .通过供应商网络进行的网络攻击正变得越来越普遍。根据 Ponemon Institute 的 2020 年网络弹性组织研究，56% 的组织报告说他们经历过由第三方供应商造成的网络安全漏洞。在确定可接受的风险水平时，在选择与贵公司合作的承包商或合作伙伴时要有所选择。
• 事件报告 .灌输报告事件的良好文化和教育。如果 IT 专业人员尽早了解潜在损害，他们就更有能力减少潜在损害。

检测

有人说，没有烟雾探测器的家庭与没有监控的网络是一样的。对安全事件的持续监控应包括物理环境、网络、服务提供商和用户活动。漏洞扫描是一个很好的工具，应该在包含敏感信息的系统上定期执行。

响应和恢复

响应时间和攻击成本之间存在明显的相关性。检测、反应、响应和补救耗时最长的行业会产生最高的成本。快速响应有助于减轻影响。尽管如此，它也不能消除这种可能性，所以总是强调预防。

灾难恢复计划对于在灾难后恢复数据访问和 IT 基础架构至关重要。恢复取决于损坏的范围。

以业务连续性计划的形式为所有潜在事件场景制定响应计划和补救路线图。包括在灾难期间保持业务运营的策略。如果关键供应商受到攻击，确定供应商的重要性和行动方案。为您的备份争取备份供应商和备份，以防您需要转移到另一个供应商来满足客户需求。

作为有效灾难恢复计划的一部分，建议至少每年模拟一次网络安全漏洞。通过这些演练，相关人员了解自己的角色和应遵循的程序。

随着供应链变得更加复杂，网络安全将成为各种规模企业的主要障碍。识别供应链中的薄弱环节，以确保最大程度地减少漏洞并防止威胁事件。建立网络弹性将使您的公司为最坏的情况做好准备，否则会造成更高的成本和破坏性。

Marc Lewis 是 Visible Supply Chain Management 的信息安全主管。