在數字化浪潮下,供應鏈的安全防線正受到前所未有的考驗,成為網絡攻擊的重點目標。網絡攻擊不僅可能導致巨大的經濟損失,還可能對企業的聲譽造成不可逆轉的損害。本文將探討全球范圍內供應鏈面臨的網絡攻擊威脅現狀、供應鏈成為攻擊重災區現象的成因,以及如何構建有效的供應鏈安全計劃和策略。
供應鏈側網絡攻擊成為業務持續經營的巨大隱患
近年來,一些影響深遠的供應鏈攻擊已經證明了其對全球組織的破壞力。如NotPetya勒索軟件,它通過感染供應鏈中的一個環節——某會計軟件進行傳播,導致全球超過50,000個端點感染,造成超過100億美元損失。
此外,近期一家美國領先健康保險服務提供商的信息科技子公司的醫療支付交換平臺系統遭到勒索軟件攻擊,為集團造成了億美元的損失。該攻擊擾亂了美國醫療系統,造成了全美范圍內醫療服務和保險理賠業務的嚴重中斷。
表1 供應鏈網絡攻擊案例對比解析
由于供應鏈中不同組織之間的相互連接和依賴,這種攻擊能夠迅速從一個單一的點擴散到整個網絡,影響到全球范圍內的公司。包括勒索軟件在內的各類網絡攻擊給業務的持續經營造成了嚴重的干擾,并會對聲譽產生重大影響。網絡攻擊通常會導致生產和發貨的延遲、庫存問題及由于供應鏈的相互聯系而波及多個行業的運營中斷。其后的持續影響還包括財務損失、交付失敗和延誤所造成的聲譽損害。
根據Centrify的一項研究[1],在安全漏洞或事件發生后,65%的客戶對組織失去信任。世界經濟論壇[2]還指出,中斷可能導致工業生產在1-2年內下降4%-5%。供應鏈安全事件的影響可能會對聲譽和信任造成毀滅性的影響;該事件的影響可能會影響全球的客戶、利益相關者和其他公司。
除了損害公司的形象外,事故還可能產生法律監管后果。一些公司因沒有采取適當的治理措施(如數據保護和安全等)而面臨罰款、處罰和清算。
為何供應鏈成為網絡攻擊的重災區?
供應鏈的全球互聯性和復雜性使其成為網絡攻擊的首要目標。導致供應鏈易受攻擊的關鍵原因有:
1、網絡威脅復雜多樣:
復雜的供應鏈場景為攻擊者提供了許多可供利用的載體,從而導致多種多樣的網絡攻擊持續發生,包括內部威脅、惡意軟件和勒索軟件、敏感數據暴露、固件攻擊、實物盜竊和入侵、未經授權訪問物聯網設備、供應鏈中介的違規行為、社會工程等。
2、安全漏洞隱蔽分散:
在現代供應鏈中,發現和彌補安全漏洞對企業而言是一項極大的挑戰。供應鏈涉及眾多環節和多方參與者,企業對于識別上下游合作伙伴的安全漏洞往往存在滯后性,這使得攻擊者能夠長期接觸漏洞并獲得巨大的經濟回報。
3、供應商管理意識與資源不足:
許多企業缺乏足夠的供應商管理意識和資源來有效地識別和控制供應鏈安全風險,特別是對于中小企業來說,由于缺乏有效的安全支持能力,無法應對供應鏈上下游帶來的安全挑戰。根據2022年世界經濟論壇[3]發布的《全球網絡安全展望》,39%的組織已受到第三方網絡事件的影響。這項調查顯示,許多組織并未充分評估其供應鏈中的第三方,并且可能未被告知他們參與事件的情況。
4、運營技術(OT)安全默認缺失:
隨著工業的到來,運營技術(OT)在供應鏈中的使用正隨著IT和OT資產的互聯融合而快速增長。然而,根據歐洲網絡安全局(ENISA)[4]在2022年進行的一項調查,76%的組織缺乏OT供應鏈網絡安全的專門角色和責任;僅47%的組織為OT供應鏈網絡安全分配了專屬預算。其中,制造業往往比其他行業更容易受到針對性攻擊。根據IBM網絡安全專家2022年的一份報告[5],制造業占所有OT攻擊的58%。因為在制造業中大量使用的OT設備在默認情況下大多沒有安全保護。
5、風險評估執行積極度低:
ENISA的調查數據揭示了一個令人擔憂的事實,即只有37%的組織積極地對其供應鏈進行風險評估。供應鏈領域缺乏風險評估的情況也解釋了供應鏈攻擊成功案例持續增加的原因。
圖1 供應鏈安全相關的多項調查關鍵數據概覽
如何構建供應鏈安全計劃和策略?
安永《2023全球網絡安全領導力洞察研究》顯示,盡管供應鏈帶來的風險廣泛存在,網絡安全發展中企業更專注于財務風險,而網絡安全成熟型企業(38%)高度關注供應鏈風險的可能性幾乎是網絡安全發展中企業(20%)的兩倍;在安永2021年全球信息安全調查中,67%的CISO(首席信息安全官)不相信其供應鏈可以有效抵御網絡威脅或從網絡威脅中恢復過來。那么,供應鏈安全到底是什么?供應鏈安全是指企業供應鏈中涉及的所有流程、資產和基礎設施免受威脅的保護和風險管理。由于網絡攻擊的高度危險性,應在整個供應鏈的基礎設施中建立安全。構建供應鏈安全計劃和策略需要一個全面的視角,涵蓋人員、流程和技術三個方面。
人員
人員是供應鏈安全中最關鍵但也可能是最薄弱的環節。構建供應鏈安全計劃中人員方面的策略可以包括:
? 強制性培訓計劃:為內部員工和外部供應商合作伙伴提供定期的安全意識培訓,以增強其安全知識,并了解其如何影響供應鏈。培訓內容應包括敏感信息保護意識、遵守安全協議、權限管理、OT技術和社會工程等。
? 桌面演練:設計切合實際的桌面演練,以促進事件響應的協作,確保所有人員都為潛在的事件做好準備。
? 內部認證:制定內部認證計劃,確保員工具備執行安全相關任務的資格和能力。
流程
供應鏈的運作在很大程度上依賴于明確定義的流程。因此,穩健的管理流程將有助于減輕一部分供應鏈安全風險。流程方面需要重點關注的要素包括:
? 治理和合規:供應鏈安全倡議的第一步是調整政策、標準,以及數據保護制度。通過參考一些重要的網絡安全實踐和標準,將標準化安全控制納入供應鏈,并實施法律要求的隱私與合規控制,有效增強其整體安全態勢。
? 第三方管理:對供應商和合作伙伴進行風險評估、分級和持續監控,簽署服務級別協議,建立第三方風險數據庫;為供應商建立一個安全的溝通渠道,確保在發現新的漏洞時及時通知所有各方。
? 事件響應運行手冊:制定詳細的事件響應運行手冊,包括恢復點目標(RPO)和恢復時間目標(RTO)。
? 網絡資產生命周期管理:對網絡資產進行全生命周期管理,確保從采購到停用的每個階段都符合企業的安全標準。
技術
技術是保護供應鏈免受網絡攻擊事件影響的工具。構建供應鏈安全計劃中技術方面的策略包括:
? 安全控制塔:開發和實施供應鏈控制塔,利用實時數據提供關鍵的網絡安全指標。
? 供應鏈架構重新設計:采用“安全設計”概念,重新檢查和優化設計其企業資源規劃(ERP)以及數據架構和基礎設施。
? 供應鏈DevSecOps:實施DevSecOps,通過持續集成和部署最新的OT、物聯網設備和軟件更新,并實施監控和自動化,將安全整合到軟件開發、運營的每個階段。
? 數據保護:通過數據安全治理、數據加密和數據防泄漏技術保護敏感數據。
? 安全性測試:對OT和IoT設備進行安全性測試,包括代碼審查、靜態/動態應用程序安全測試等,確保沒有后門和關鍵漏洞。
? 身份訪問管理(IAM):利用單點登錄(SSO)和多因素身份驗證(MFA)等IAM技術在整個組織中集成安全性,實施基于角色的身份和訪問管理解決方案來保護資源。
安永支持企業做好供應鏈安全建設工作
安永為企業提供一系列服務來幫助構建和維護其供應鏈安全。這些服務包括但不限于:
供應鏈安全體系轉型咨詢
? 建立或加強供應鏈安全計劃和策略:提供適當的治理、流程和風險框架,包括管理和監督、政策和標準、第三方清單、風險管理方法和模型等。
? 定義供應鏈安全管理要求:定義基本的信息安全要求,以支持所有產品和服務的采購和供應,如產品的制造或裝配、業務流程采購、軟件和硬件的組件、知識流程采購和云計算服務等。
? 設計供應鏈安全管理流程:圍繞供應商關系生命周期,為供應商關系規劃、供應商選擇、供應商關系協議、供應商關系管理、供應商關系終結的全過程提供可落地的標準流程。
供應鏈安全風險評估:
幫助企業了解供應鏈的結構,識別供應鏈中可能存在的安全風險(如惡意篡改、假冒偽劣、供應中斷、信息泄露等);確定風險的可能性和影響程度,對風險進行分類和優先級排序;根據風險評估的結果,制定風險處置計劃。
供應鏈安全聯合運營:
? 供應商安全評估執行:使用企業特定安全要求與框架,開展現場/遠程調研和審查供應商安全能力,識別基于業務場景的實際安全風險,制定風險控制措施,確保其符合企業的安全標準。
? 安全培訓:為供應商提供安全培訓,提高其供應鏈安全意識與能力,加強供應商對于公司服務的安全重視程度。
? 持續監督:建立監督機制,持續評估供應商的安全表現,指導供應商優化提升自身安全管理水平。
技術實施和支持:
提供專業的技術支持,推薦適合企業需求的安全技術工具和解決方案,制定相關策略并協助實施,賦能企業掌握完整功能,有效預防、監控、緩解企業供應鏈安全風險。
此外,安永還可以通過政策和標準制定、事件響應計劃制定、合規性評估等專項咨詢服務助力企業優化供應鏈安全管控,建立一個更加安全和有韌性的供應鏈,以抵御不斷演變的網絡威脅。
結語
安全措施的實施對于發現、保護和應對因網絡問題導致的供應鏈中斷至關重要。供應鏈中可能發生的網絡攻擊的受害者不僅會遭受財務損失,還會遭受嚴重的聲譽損害,從而削弱供應鏈合作伙伴、客戶和利益相關者之間的信任。
為了建立一個有韌性的供應鏈,企業必須制定一個包括人員、流程和技術方面的供應鏈安全計劃。一個有韌性的供應鏈能夠抵御各種挑戰,有助于公司實現長期業務目標,在充滿挑戰的業務環境中為持續增長、盈利能力和成功做好定位。然而,實施安全保護不是一次性的努力,它需要持續評估、主動改進和長效治理。我們將在接下來的文章中,繼續深入探討供應鏈網絡安全風險評估方法、評估工具,以及供應鏈網絡安全體系建設等專項課題,持續為公司提升供應鏈網絡安全防御能力提供幫助。
