供應鏈包括涉及生產(chǎn)商品/服務及其最終交付給最終客戶的所有流程。這些過程通常包括可能直接或間接影響不同合作伙伴、供應商和供應商的商品/服務的多個企業(yè)。

歸根結底，供應鏈就是在正確的地點、時間和價格為客戶提供他們需要的東西。

更具體地說，供應鏈可以分為四種主要類型：產(chǎn)品、設施、車輛和路線。這些實體中的每一個都必須協(xié)同運作，以成功生產(chǎn)商品/服務并將。

雖然沒有任何一個實體可以改變全球供應鏈的面貌，但可以在自己的組織內做出一些改變，以幫助免受干擾。

什么是供應鏈安全？

雖然供應鏈安全正在成為一個更受關注的話題，但它缺乏一個單一的定義。

從本質上講，供應鏈安全就是管理威脅供應鏈各部分及其參與者的風險。對于企業(yè)而言，這意味著識別、分析和弄清楚如何降低與不同供應商、供應商和其他服務提供商合作的風險。

供應鏈安全示例

供應鏈安全包括物理安全和網(wǎng)絡安全，后者的作用越來越大。

例如，對物理供應鏈安全的威脅包括盜竊或破壞?？梢酝ㄟ^對人員進行背景調查或要求供應商使用特定準則確保貨物安全來緩解這些問題。

另一方面，對供應鏈網(wǎng)絡安全的威脅包括惡意軟件攻擊、盜版或惡意注入的后門。組織可以通過訂閱供應鏈安全最佳實踐來最大程度地減少這些威脅。

供應鏈安全的重要性

供應鏈正變得越來越全球化，因此面臨攻擊的風險越來越大。

供應鏈攻擊是針對供應鏈任何元素的攻擊，旨在損害部門、企業(yè)甚至整個行業(yè)。這些攻擊的范圍從數(shù)據(jù)泄露到勒索軟件攻擊，再到來自不良行為者的許多其他惡意活動。此類攻擊的影響是可怕的：在2021年，數(shù)據(jù)泄露的全球平均成本估計為4萬美元。

為了進行供應鏈攻擊，攻擊者通常針對供應鏈中最薄弱的環(huán)節(jié)，包括缺乏強大網(wǎng)絡安全態(tài)勢的小型供應商或下游客戶。雖然這看起來微不足道，但即使是與小型第三方供應商發(fā)生的一次安全事件也可能對更大的供應鏈造成嚴重破壞。通過僅由一方的滲透，攻擊者可以引發(fā)多米諾骨牌效應，破壞更大的供應鏈的穩(wěn)定。

如何設計完整的供應鏈安全策略

如果沒有適當?shù)墓湴踩?，組織就有可能遭受攻擊，并遭受延遲交付、產(chǎn)品損壞、個人數(shù)據(jù)泄露，甚至聲譽受損，以及許多其他運營和財務后果。

創(chuàng)建完整的供應鏈安全策略對于遠離潛在攻擊者至關重要。

什么是供應鏈安全框架？

為此，許多組織正在將注意力轉向供應鏈安全框架，例如NIST框架。這些框架旨在幫助組織了解供應鏈安全的主要支柱，以便他們能夠識別網(wǎng)絡安全風險并采取措施緩解這些風險，并為發(fā)生攻擊時采取的措施做好準備。

供應鏈安全最佳實踐

雖然網(wǎng)絡安全框架提供了一般供應鏈安全要求的良好概述，但它們幾乎沒有提供詳細的執(zhí)行計劃。

組織需要的是供應鏈安全多方面方法的指南，但沒有一個“劇本”可以滿足每個組織的需求。相反，供應鏈企業(yè)應該注意尋找到適合自己的供應鏈安全最佳實踐：

1.了解您的數(shù)據(jù)

這聽起來很簡單，但不容忽視：您必須了解自己的數(shù)據(jù)，即您的組織存儲哪種數(shù)據(jù)以及該數(shù)據(jù)的敏感程度。

為此，請使用分類工具查找組織中具有敏感數(shù)據(jù)（如客戶數(shù)據(jù)、財務信息、健康記錄等）的數(shù)據(jù)庫和文件。接下來，考慮以下事項：

• 哪些數(shù)據(jù)需要保護？

• 誰有權訪問此數(shù)據(jù)？

• 已經(jīng)采取了哪些安全措施？

2.進行供應鏈安全風險評估

僅僅了解您的數(shù)據(jù)是不夠的。您還需要全面了解您的供應鏈，以便識別可能的安全風險并采取措施防止它們。

首先收集有關第三方合作伙伴的信息。他們采取了哪些網(wǎng)絡安全措施？考慮每個合作伙伴的漏洞級別、訪問數(shù)據(jù)的廣度和深度，以及如果他們的安全性受到威脅，對組織的影響。

接下來，評估組織使用的軟件和硬件產(chǎn)品。他們最薄弱的弱點是什么？

并且不要忘記合規(guī)性。評估現(xiàn)有的安全治理，并考慮組織可能需要在何處進行透視。

3.建立詳細的安全計劃

供應鏈安全框架很有幫助，但它們并不構成組織如何處理供應鏈安全的完整計劃。

創(chuàng)建一個文檔，描述供應鏈安全狀況的所有目標和任務，并概述組織將使用的所有策略、流程、程序和工具。通過分配具有明確職責的特定角色來確保問責制。

同時也需要注意合規(guī)性。確保您的所有合作伙伴都了解他們必須遵循哪些標準和要求才能訪問和使用您的數(shù)據(jù)。

4.立即加強數(shù)據(jù)管理

供應鏈安全管理是一項持續(xù)的任務，但當您開始設計新程序時，您可以立即做一些事情。

例如，您可以通過更新不良密碼策略和消除默認密碼來立即緩解某些漏洞。

進行滲透測試也是一個好主意。通過與滲透測試專家合作，您可以查明整個組織和IT基礎架構中所有應用程序中的漏洞，這些漏洞對更大的供應鏈構成嚴重風險。

5.評估您的第三方合作伙伴的風險

隨著您與第三方組織的聯(lián)系不斷增長，您的供應鏈安全風險也隨之增加。

這意味著第三方風險管理必須始終是首要考慮因素。

首先，將內部團隊與組織的第三方合作伙伴和供應商聯(lián)系起來。協(xié)同工作以識別主要風險，例如系統(tǒng)關閉或數(shù)據(jù)泄露。然后，通過討論如果發(fā)生這些事件之一對組織的潛在損害以及如何減輕影響，為不可避免的情況做好準備。

6.與合作伙伴持續(xù)溝通

由于供應鏈安全是一項持續(xù)的挑戰(zhàn)，您需要與合作伙伴密切合作。

在你們關系的整個生命周期中，你必須不斷與你的合作伙伴合作，監(jiān)控安全風險，評估其嚴重性，并計劃預防供應鏈安全問題。

與您的合作伙伴保持定期溝通將大大有助于確保每個人在安全方面都在同一維度上。

可以考慮使用服務級別協(xié)議（SLA），這將有助于確保所有第三方的供應鏈安全要求都標準化，這也將有助于合規(guī)性并使團隊承擔責任。除了所有必要的安全要求外，SLA還應包括各方的職責、用于衡量合規(guī)性的指標以及針對每次違規(guī)的規(guī)定罰款。

7.限制合作伙伴訪問您的數(shù)據(jù)

與合作伙伴溝通是良好供應鏈安全的重要組成部分。但最重要的是，不要相信你的供應鏈。

畢竟，可以訪問您的數(shù)據(jù)的人越多，確保其安全性就越困難。限制所有第三方合作伙伴對組織敏感數(shù)據(jù)的訪問可以減少數(shù)據(jù)泄露和其他安全風險的可能性。

若要決定在何處限制訪問，請先進行審核。確定哪些合作伙伴可以訪問哪些數(shù)據(jù)以及原因。他們真的需要訪問這些數(shù)據(jù)嗎？若要簡化合作伙伴的訪問，請考慮采用最小特權規(guī)則或采用零信任安全性。

8.監(jiān)控合作伙伴的活動

與合作伙伴保持良好溝通的重要性怎么強調都不為過。但供應鏈安全最佳實踐還建議對所有供應商和其他第三方合作伙伴進行持續(xù)的活動監(jiān)控。雖然聽起來可能很突兀，但監(jiān)視第三方活動實際上是一項常見的IT合規(guī)性要求。

通過監(jiān)視訪問組織網(wǎng)絡的所有外部用戶，可以幫助防止不良做法和參與者從裂縫中溜走。

在發(fā)生供應鏈攻擊時，監(jiān)控也很有用，因為它可以幫助您的組織確定攻擊的來源，以便您可以采取措施修補薄弱環(huán)節(jié)。

9.制定事件響應計劃

無論您如何穩(wěn)健地準備組織的供應鏈安全，攻擊都會發(fā)生，并且您的系統(tǒng)將受到損害。

這就是為什么供應鏈安全最佳實踐不僅僅是預防，還涉及準備。

供應鏈安全計劃的關鍵部分應包括事件響應計劃。該計劃應詳細說明每個人的角色以及在發(fā)生安全事件時應遵循的所有程序。確保您有針對數(shù)據(jù)泄露、系統(tǒng)關閉和其他安全中斷的不同計劃。

不要只是寫下這些程序。測試它們，練習它們并確保它們準備好執(zhí)行。

結語

供應鏈是脆弱的，這使得維護穩(wěn)固的供應鏈安全成為一場危險的游戲。雖然您永遠無法確保消除所有威脅，但遵循供應鏈安全最佳實踐將使您的組織能夠為它們做好準備并減輕其影響。

聯(lián)系蓋老師（gaijidong3）