在日益复杂的地缘政治格局下,供应链安全日益受到关注。大多数企业都与第三方(通常位于不同国家)合作,以管理其系统并创建、制造和交付产品。然而,这意味着供应链漏洞是一个切实存在的威胁,可能会影响企业的运营。随着企业越来越依赖OpenAI和Meta等云服务,这个问题显得尤为重要,因为这些服务都可能带来重大威胁。
许多国家已将安全供应链管理列入国家议程,并通过相关建议和立法来确保这些关键全球网络的完整性。然而,企业仍然有责任有效管理其供应链网络,尤其是在许多业务功能都在线上和云端管理的情况下。
让我们来看看在当今的商业环境中,哪些供应链漏洞最为关键,以及如何降低这些风险。
什么是供应链攻击?
供应链攻击是指攻击者利用供应链中的漏洞入侵企业网络的特定网络威胁。虽然大多数企业都需要与第三方供应商合作,但这些外部供应商通常需要企业提供敏感数据才能将其集成到自己的系统中。如果供应商的系统遭到已泄露,那么与其合作的所有客户——也就是他们的企业——也可能遭受数据泄露的损失。
供应链网络攻击的类型
供应链攻击的形式多种多样,具体取决于攻击者选择攻击供应链中的哪个环节以及攻击方式。以下是一些供应链攻击的例子:
- 恶意软件:许多供应链攻击都是通过病毒、勒索软件和其他恶意的软件实施的。
- 网络钓鱼攻击:可能涉及使用社会工程学技巧来诱骗公司员工泄露敏感数据或用户凭证。
- 分布式拒绝服务 (DDoS)攻击: DDoS 攻击会通过大量流量阻塞组织的网络,造成严重的中断,从而导致供应链停滞。
- 破坏供应商:在这种实例下,已泄露供应链安全。
- 供应商欺诈:不可信的供应商可能会提供供应链安全存在已泄露的产品和服务。
- 软件篡改:攻击者可能会篡改合法软件,引入漏洞,这些漏洞随后可能被利用来实施攻击。
- 数据篡改:攻击者故意伪造企业供应链中的数据。
- 网络入侵:指供应商和客户之间的网络或互联设备遭到破坏;这可能包括IoT设备和网络硬件。
供应链漏洞
随着供应链变得越来越复杂,供应链网络安全面临的挑战也相应增加。以下是当今安全供应链管理领域一些最紧迫的问题:
- 供应商表现不佳,源于政治或经济依赖,或易受自然灾害影响。
- 由于无法准确预测需求,导致需求计划复杂化。
- 全球范围内熟练劳动力短缺,尤其是在了解供应链安全监控和最佳实践方面。
- 经济波动加剧、通货膨胀上升、价格可预测,使得与供应商谈判和有效管理库存变得困难。
- 错综复杂的全球和地方制裁及法规网络。
- 地缘政治紧张局势可能会扰乱或复杂化供应链。
- 供应商在环境、社会和治理 (ESG) 方面的不合格做法可能会造成声誉损害。
- 气候变化可能引发的自然灾害。
- 供应商和组织过度依赖云计算和其他数字技术,导致网络风险增加。
员工和供应链脆弱性
员工应是企业供应链攻击防范的关键防线。他们可能接触到公司的敏感数据或拥有访问这些数据的登录凭证。因此,一些供应链攻击会以员工为目标,使他们在不知不觉中成为攻击媒介。这些攻击通常利用网络钓鱼邮件和社会工程手段来访问第三方供应商的网络,并渗透到目标企业的网络中。
因此,企业及其供应链供应商必须确保员工了解供应链安全最佳实践。这可以保护公司及其客户。
许多公司将严格的员工安全意识培训计划作为其供应链韧性策略的一部分。这些计划可能包括:
- 通过真实案例说明供应链攻击的运作方式;
- 常见的钓鱼诈骗和社会工程技巧;
- 互动式培训以增强学习效果;
- 针对特定威胁(例如恶意软件)的讲解;
- 实施访问控制,使员工了解哪些人可以访问哪些数据;
- 学习如何与第三方供应商安全合作,例如制定安全要求和定期进行审计。
- 如何妥善管理和共享敏感数据,包括身份验证。
- 安全通信方式的重要性。
卡巴斯基提供多种培训项目和工具,供应商可以利用这些项目和工具来提升员工在供应链中的网络安全意识。例如,Kaspersky Security意识工具可以评估员工的网络安全技能,而Kaspersky Automated Security Awareness Platform提供有关如何缓解网络钓鱼等网络威胁以及防止声誉损害的宝贵知识。
供应链安全的关键步骤
企业可以采取多种措施来增强其业务内部的供应链安全。以下是一些最推荐的措施:
- 实施蜜罐令牌,蜜罐令牌在遭受攻击时充当诱饵,并提醒组织注意入侵企图。
- 使用强大的云安全解决方案。
- 使用有效的特权访问管理框架,以防止常见的攻击序列——攻击者通过横向移动网络来寻找特权帐户以访问敏感数据;这包括检测第三方泄露、实施身份访问管理以及加密所有内部数据。
- 对员工进行有关常见供应链安全威胁的培训,包括钓鱼诈骗、社会工程、DDoS 攻击和勒索软件。
- 实施零信任架构,只有在连接请求通过严格评估后才允许访问知识产权——这对于远程工作也很有用。
- 识别和减轻潜在的内部威胁——尽管具有挑战性,但定期的员工参与和开放的工作文化有助于在员工变得敌对和可能恶意的之前识别公司范围内的问题。
- 通过与供应商沟通并绘制潜在攻击途径,识别易受攻击的资源。
- 限制对敏感数据的访问,尽量减少特权访问,并记录所有有权访问敏感数据的员工和供应商。
- 通过在合同中概述数据访问和使用的标准和要求,确保供应商具备内部安全措施——明确规定如果供应商遭受数据泄露,必须通知组织。
- 通过供应商多元化来降低供应链潜在的脆弱性。
- 假设数据泄露不可避免,并保护员工、流程和设备免受损害——这可以包括使用防病毒软件、多因素身份验证和攻击面监控解决方案。
- 了解全球劳动力短缺如何影响供应链,并找到应对此问题的供应链韧性策略。
合法化和供应链安全
虽然大多数供应链方面的考虑都集中在企业层面,但许多政府已经开始关注并实施国家层面的安全措施。这是因为供应链问题可能会对国家产生重大影响。
以下概述了一些国家为加强供应链安全所采取的措施:
欧盟
欧盟正通过新的NIS2指令加强供应链安全管理。该指令概述了三种强化供应链安全的机制:欧盟层面的协调风险评估;成员国层面的国家风险评估;以及企业内部的风险评估。
遵守NIS2指令可能需要企业:
- 考虑每个供应商的漏洞,包括其网络安全措施;
- 按照第22(1)条的规定对关键供应链进行风险评估,更重要的是,要认真对待评估结果;如果成员国/企业未能做到这一点,可能会受到经济处罚;
- 建立并更新关键运营商名单,并确保其符合指令的要求;
- 了解国家网络安全战略;
- 了解欧盟CSIRT网络的覆盖范围,该网络可以监控联网资产;
- 关注指令对数据存储和处理软件提供商、网络安全管理以及软件开发商的强调;
- 识别风险并实施适当的缓解措施;
- 建立清晰的事件报告流程,并及时报告
- 与供应商合作,识别并缓解网络安全风险。
- 与供应商明确供应链安全预期,并定期进行合规性审核。
英国
英国高度重视网络安全,尤其是在供应链方面。国家网络安全中心制定了网络评估框架,其中概述了网络威胁缓解策略。该框架的云安全指南原则 8专门提到了供应链安全最佳实践和云服务,这些服务特别容易受到攻击。
这里的建议表明,企业应该明白:
- 他们的数据如何与供应商共享以及供应商如何使用这些数据
- 客户数据是否属于这部分内容
- 供应商的硬件和软件如何具备适当的安全措施
- 如何评估供应商风险
- 如何强制供应商遵守安全规定
为确保上述目标的实现,政府指南建议在使用云服务时采用以下几种实施方法:
- 了解云服务中的分离情况,这些云服务可能基于第三方 IaaS 或 PaaS 产品构建。
- 在进行风险评估时,应考虑数据敏感性,尤其是在使用第三方服务时。
- 查看第三方服务如何描述数据共享关系,并确保其符合GDPR。
预防供应链攻击的最佳实践技巧
虽然无法消除供应链安全威胁,但可以通过一些方法来降低风险,特别是关注供应商。对组织而言,以下做法可能有所帮助:
- 定期对第三方供应商进行供应链风险评估和监控。
- 识别并缓解可能导致供应链攻击的任何第三方数据泄露或泄漏。
- 为每个供应商制定风险配置文件,然后根据威胁级别/类型对供应商进行分组。
- 根据漏洞、数据访问权限和对业务的影响对供应商进行排名。
- 通过调查和站点考察评估供应链管理。
- 识别供应商系统中的漏洞并要求其改进。
- 评估供应商提供的产品和服务的安全性。
使用可靠的安全和防病毒程序,例如卡巴斯基混合云安全软件,也应构成供应链的第一道防线。
相关文章:
相关产品:
