美國安全培訓與研究機構(gòu)SANS研究所最近確定了確保企業(yè)供應(yīng)鏈安全的關(guān)鍵組件，而這是行業(yè)專家認為它們很重要的原因。

隨著網(wǎng)絡(luò)犯罪分子和黑客不斷攻擊安全性脆弱的企業(yè)或個人用戶，供應(yīng)鏈上的網(wǎng)絡(luò)攻擊不斷增加。

正如SANS研究所在最近關(guān)于供應(yīng)鏈安全成功模式的報告中指出的那樣，許多備受矚目的安全事件表明了創(chuàng)建或升級供應(yīng)鏈安全的重要性。

今年4月，許多美國公司的外包商Wipro公司的可信網(wǎng)絡(luò)遭到破壞，并被威脅參與者用來對這家印度公司的客戶發(fā)起網(wǎng)絡(luò)攻擊。

今年5月，Adobe公司的Magento電子商務(wù)平臺和7,000多個業(yè)務(wù)應(yīng)用程序中的其他第三方服務(wù)遭到破壞，導致包括Ticketmaster公司在內(nèi)的許多公司的密碼和其他敏感信息被盜。

今年5月，第三方承包商將敏感憑證暴露給Universal Music Group的內(nèi)部服務(wù)器，使存儲在這些服務(wù)器上的敏感信息面臨風險。

今年7月，英國信息專員對英國航空公司處以2.3億美元罰款，占其2017年凈銷售額的1.5%，原因是該公司網(wǎng)站及其應(yīng)用程序中的惡意軟件感染，泄露了約50萬名客戶的敏感信息。

SANS研究所新興趨勢總監(jiān)John Pescatore解釋說：“大約在四年前，當網(wǎng)絡(luò)犯罪分子開始攻擊供應(yīng)鏈以達到主要目標時，供應(yīng)鏈安全對于首席信息安全官變得更加重要。

”他表示，最近由于一些國家對供應(yīng)鏈的網(wǎng)絡(luò)攻擊引起了媒體對該主題的興趣，供應(yīng)鏈安全問題變得更加令人關(guān)注。

總部位于芝加哥的咨詢機構(gòu)Liberty Advisory Group公司的負責人ArmondÇaglar補充說：“威脅行為者越來越喜歡利用第三方供應(yīng)商和分包商的防御手段，因為這些實體經(jīng)常向黑客開放。

”SANS研究所發(fā)布的報告確定了有效的供應(yīng)鏈安全計劃的五個關(guān)鍵措施：1.確定供應(yīng)鏈負責人SANS報告指出，安全性必須在管理鏈中確定供應(yīng)鏈決策的負責人，以確保安全性涉及未開發(fā)地區(qū)的某個級別。

這名負責人可能是企業(yè)董事會成員、首席執(zhí)行官、首席運營官、首席信息官或采購主管。

負責人需要獲得首席信息安全官或安全經(jīng)理與企業(yè)管理人員的信任，然后與他們合作，而不是試圖發(fā)布安全指令。

Çaglar指出，負責人必須被企業(yè)領(lǐng)導者認為是可靠的，并應(yīng)與其他執(zhí)行利益相關(guān)者一起協(xié)商。

他說：“沒有這樣的內(nèi)部政治力量，當面對困擾大多數(shù)業(yè)務(wù)部門的傳統(tǒng)資源和預(yù)算限制時，適當?shù)墓?yīng)鏈計劃就可能被降級為另一個成本中心，而其風險緩解工作將被邊緣化。

”Webroot公司是一家保護計算機免受病毒、惡意軟件和網(wǎng)絡(luò)釣魚攻擊的軟件制造商，該公司工程部副總裁David Dufour補充說，不僅要有負責人，而且必須是合適的負責人。

他解釋說：“供應(yīng)鏈安全的負責人應(yīng)該對安全有深入的了解，但他們的重點不是以安全為中心。

他們還必須考慮到商業(yè)因素，并制定一個整體流程。

”SANS研究所的Pescatore承認，對于具有成熟安全狀況的大型公司來說可能不需要這樣的負責人。

他說：“大型公司并不需要IT部門和IT安全部門來證明他們能夠以業(yè)務(wù)發(fā)展的速度來實現(xiàn)供應(yīng)鏈安全。

否則，業(yè)務(wù)人員會說，‘我們要承擔風險而不是失去市場份額。

’”2. 了解所有的供應(yīng)商該報告解釋說，任何成功的安全計劃的基礎(chǔ)都始于資產(chǎn)管理、漏洞評估和配置控制。

報告中指出，企業(yè)無法確保不知道的東西在那里，如果知道它在那里，則必須能夠檢測到風險狀態(tài)何時發(fā)生變化。

報告指出，在供應(yīng)鏈安全方面相當于投資組合管理。

這意味著要發(fā)現(xiàn)和了解供應(yīng)鏈所有合作伙伴(從第1層合作伙伴到擴展的供應(yīng)商網(wǎng)絡(luò))，并定期評估漏洞并檢測暴露風險的變化。

但是，這可能是一項艱巨的任務(wù)。

自動威脅管理解決方案提供商Vectra Networks公司安全分析負責人Chris Morales說，“在某些組織中，收購新供應(yīng)商可能就像人們使用信用卡并簽署為其提供特定利益的服務(wù)一樣簡單。

這些都是每天做出的決定，其中不包括安全審核或來自安全團隊的建議。

”數(shù)字風險保護解決方案提供商Digital Shadows公司戰(zhàn)略副總裁Rick Holland補充說，評估供應(yīng)鏈是組織可以承擔的更具挑戰(zhàn)性的風險管理工作之一。

他解釋說，“一家跨國公司很容易在其供應(yīng)鏈中擁有上千家公司。

在數(shù)字化轉(zhuǎn)型時代，許多供應(yīng)鏈都由SaaS供應(yīng)商組成，這些供應(yīng)商比傳統(tǒng)的本地供應(yīng)商更容易替換。

其結(jié)果是瞬態(tài)供應(yīng)鏈不斷發(fā)展。

這進一步增加復雜性，企業(yè)進行的并購活動越多，其供應(yīng)鏈就越復雜。

所有這些因素使供應(yīng)鏈風險管理成為一項艱巨的任務(wù)。

”3.擴展多種供應(yīng)鏈風險評估方法該報告警告說，一般的風險評估方法不適用于大多數(shù)企業(yè)。

為了支持業(yè)務(wù)響應(yīng)性需求，并能夠更持續(xù)地監(jiān)控風險水平，可能需要混合使用各種技術(shù)，從快速的瀏覽到詳細深入的評估。

報告指出，在總體和供應(yīng)鏈管理中都繞開了安全小組的一個原因是安全行動太慢。

它解釋說，企業(yè)經(jīng)常要求業(yè)務(wù)經(jīng)理承擔一定程度的風險，因為報告指出，供應(yīng)鏈安全計劃需要提供分級評估以支持業(yè)務(wù)需求。

網(wǎng)絡(luò)安全服務(wù)提供商PerimeterX公司安全宣傳員Deepak Patel說：“安全團隊需要了解業(yè)務(wù)及其發(fā)展業(yè)務(wù)的要素。

他們需要根據(jù)業(yè)務(wù)投入確定威脅的優(yōu)先級。

”Webroot的Dufour補充說：“許多安全團隊的行動確實太慢了。

”跨國網(wǎng)絡(luò)安全廠商Palo Alto Networks公司安全運營副總裁Eric Haller認為，“行動太慢”可能是糟糕計劃的明顯標志。

他說，“這是安全團隊參與流程太晚并且沒有整合他們要求的征兆。

與企業(yè)建立伙伴關(guān)系，及早參與并根據(jù)成果進行調(diào)整是避免業(yè)務(wù)放緩的好方法。

”自動化可以是避免速度下降的另一種方法。

總部位于英國的全球乘車服務(wù)商Gett公司，其供應(yīng)商安全通過Panorays部署自動化解決方案來解決。

Gett公司首席信息安全官Eyal Sasson解釋說：“該公司需要認識到新系統(tǒng)已經(jīng)到位，必須經(jīng)過安全審查流程才能與供應(yīng)商合作。

但是，在使用我們提供的解決方案一個月之后，考慮到自動化解決方案提供的速度，該公司員工并沒有感覺他們在此過程出現(xiàn)麻煩。

該平臺已成為整個供應(yīng)商的入職流程中不可或缺的一步。

”4.將儀表板和報表擴展到業(yè)務(wù)部門和IT經(jīng)理該報告建議，使用供應(yīng)鏈安全流程和工具向非安全人員提供當前風險視圖的可見性，并使他們能夠?qū)L險信息納入他們的決策中。

報告指出，應(yīng)將安全系統(tǒng)集成到任何現(xiàn)有流程中，以對供應(yīng)商和合作伙伴的財務(wù)或生存風險進行評估。

如果不存在任何系統(tǒng)，這將持續(xù)進行，那么報告視覺樣式或數(shù)據(jù)的供應(yīng)鏈安全性應(yīng)與采購、物流和業(yè)務(wù)運營經(jīng)理所熟悉的形式盡可能相似。

LAG公司Çaglar說：“我們經(jīng)常聽到這種說法：安全性不是IT問題。

這是一個普遍的業(yè)務(wù)挑戰(zhàn)，需要整個企業(yè)的利益相關(guān)者的接受和參與。

業(yè)務(wù)部門往往負責為他們提供外包服務(wù)的供應(yīng)商的管理。

各個業(yè)務(wù)部門的儀表板可訪問性可以為風險較高的供應(yīng)商提供有價值的數(shù)據(jù)，這些風險較高的供應(yīng)商會提出最高繼承風險的潛在區(qū)域以采取行動。

”Caglar補充說：“這可以使業(yè)務(wù)部門堅持采用某些技術(shù)或管理控制措施，以作為與供應(yīng)商持續(xù)開展業(yè)務(wù)的條件，甚至可以作為潛在地重新協(xié)商服務(wù)水平協(xié)議條款的手段。

”5. 與供應(yīng)商達成一致報告解釋說，很多制造商知道，淘汰劣質(zhì)供應(yīng)商并不是成功實施質(zhì)量控制計劃的前提。

他們意識到自己必須需要獲得反饋意見，以鼓勵所有供應(yīng)商采用更高質(zhì)量的流程。

對于供應(yīng)鏈安全計劃也是如此。

有效的供應(yīng)鏈安全計劃必須包括對供應(yīng)商的反饋以及對評估和評級結(jié)果的可見性，以糾正未解決的問題并推動整體改進。

該報告提醒商業(yè)領(lǐng)袖，當針對供應(yīng)鏈合作伙伴的攻擊成功時，客戶將責任歸咎于企業(yè)，而不是供應(yīng)鏈。

對供應(yīng)鏈的大多數(shù)直接攻擊可以通過基本的安全措施加以阻止，還有一個關(guān)鍵的附加因素是，供應(yīng)鏈安全計劃需要納入靈活性，以便它們能夠以采購決策的規(guī)模和速度進行操作。

對于許多董事會和許多客戶來說的一個好消息是，供應(yīng)鏈安全性是其首要任務(wù)。

通過展示一種改進或創(chuàng)建企業(yè)的供應(yīng)鏈安全計劃的戰(zhàn)略方法，安全管理人員可以獲得必要的變革支持，從而有意義、有效率地保證供應(yīng)鏈安全。