供應(yīng)鏈網(wǎng)絡(luò)安全：痛苦還是快樂?

無(wú)論是一個(gè)小型復(fù)印店還是大型制造商或互聯(lián)網(wǎng)企業(yè)，都或多或少會(huì)依賴第三方軟件開發(fā)公司提供的產(chǎn)品和服務(wù)來(lái)支持日常工作。供應(yīng)商對(duì)企業(yè)日常運(yùn)用很重要，并會(huì)在某種程度上與企業(yè)進(jìn)行軟件上的互動(dòng)，這也導(dǎo)致了軟件供應(yīng)鏈風(fēng)險(xiǎn)的產(chǎn)生。

多數(shù)情況下，公司通過限制這些個(gè)人的訪問權(quán)限來(lái)處理這些風(fēng)險(xiǎn)載體，例如阻止他們?cè)L問特定區(qū)域，或使用網(wǎng)絡(luò)和IT資源。然而，盡管IT部門通常會(huì)評(píng)估公司可能用于云服務(wù)等領(lǐng)域的官方供應(yīng)商，但在監(jiān)控公司整個(gè)供應(yīng)鏈上，來(lái)自第三方供應(yīng)商的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)仍然是一個(gè)長(zhǎng)期存在的業(yè)務(wù)挑戰(zhàn)。

從根本上說，為了降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，公司應(yīng)該確保與他們合作的每一個(gè)供應(yīng)商都能夠保護(hù)數(shù)據(jù)的安全，以及他們所受委托的服務(wù)的安全性及可用性。當(dāng)前網(wǎng)絡(luò)攻擊已經(jīng)變化多端，以至于攻擊的起點(diǎn)往往不是主要攻擊目標(biāo)，而是底層供應(yīng)鏈中最薄弱的部分。

評(píng)估風(fēng)險(xiǎn)

許多組織使用手工流程來(lái)進(jìn)行基于供應(yīng)商的網(wǎng)絡(luò)安全評(píng)估，通過電子郵件發(fā)送電子表格、Word或PDF問卷，但這很繁瑣，甚至其本身也可被視為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

更大的風(fēng)險(xiǎn)是，手工流程使組織更難全面了解網(wǎng)絡(luò)風(fēng)險(xiǎn)在供應(yīng)鏈中的位置。如果沒有定期整理和評(píng)估數(shù)據(jù)，那么未能滿足要求的供應(yīng)商可能會(huì)被排除。更糟糕的是，整個(gè)供應(yīng)鏈的系統(tǒng)性風(fēng)險(xiǎn)可能會(huì)讓組織暴露在災(zāi)難性的網(wǎng)絡(luò)事件中。當(dāng)這樣的事情發(fā)生時(shí)，為時(shí)已晚。

無(wú)論是網(wǎng)絡(luò)安全、財(cái)務(wù)還是其他監(jiān)管控制，組織都需要一個(gè)更可靠的方法來(lái)降低與供應(yīng)商、供應(yīng)商和其他第三方相關(guān)的風(fēng)險(xiǎn)。

標(biāo)準(zhǔn)化的自動(dòng)化方法

一個(gè)良好的供應(yīng)商保障安全需要采購(gòu)團(tuán)隊(duì)、IT 團(tuán)隊(duì)和其他部門共同努力，確保他們?cè)诰W(wǎng)絡(luò)安全和法規(guī)遵從方面了解彼此的領(lǐng)域、目標(biāo)和職責(zé)。他們的出發(fā)點(diǎn)是共同制定“供應(yīng)商影響”標(biāo)準(zhǔn)，系統(tǒng)地評(píng)估每個(gè)供應(yīng)商或第三方在該部門的范圍內(nèi)可能存在的內(nèi)在風(fēng)險(xiǎn)。

• 制定標(biāo)準(zhǔn)

然后可以根據(jù)這些標(biāo)準(zhǔn)對(duì)供應(yīng)商進(jìn)行衡量，并確定供應(yīng)商在安全上的水平。

對(duì)于大型供應(yīng)商或者影響較大的企業(yè)，應(yīng)該使其在內(nèi)部對(duì)其軟件安全進(jìn)行評(píng)估和檢測(cè)。如ISO27001、NIST、CNAS等。對(duì)于供應(yīng)商的安全團(tuán)隊(duì)，有必要進(jìn)行嚴(yán)謹(jǐn)?shù)陌踩珯z測(cè)和審計(jì)工作。

• 第三方專業(yè)安全檢測(cè)團(tuán)隊(duì)

如果需要進(jìn)行技術(shù)評(píng)估或測(cè)試，如由安全可信的第三方進(jìn)行代碼安全檢測(cè)或者滲透測(cè)試，供應(yīng)商若無(wú)法保證安全團(tuán)隊(duì)可以完成，在必要時(shí)可以選擇外部測(cè)試人員。

• 持續(xù)評(píng)估安全性

對(duì)供應(yīng)商的安全評(píng)估應(yīng)該是持續(xù)性的，“采購(gòu)時(shí)保證”并不夠。隨著現(xiàn)代商業(yè)步伐的變化和發(fā)展，對(duì)安全的評(píng)估應(yīng)該是定期進(jìn)行，以確保對(duì)安全風(fēng)險(xiǎn)的把控。此外，供應(yīng)商保證團(tuán)隊(duì)可以安排和管理這些持續(xù)的審查，并專注于第三方風(fēng)險(xiǎn)的治理——無(wú)論是網(wǎng)絡(luò)風(fēng)險(xiǎn)、連續(xù)性風(fēng)險(xiǎn)、金融風(fēng)險(xiǎn)還是監(jiān)管風(fēng)險(xiǎn)——但由具有領(lǐng)域?qū)I(yè)知識(shí)的人執(zhí)行，與供應(yīng)鏈中的同行進(jìn)行對(duì)話。

消除供應(yīng)鏈網(wǎng)絡(luò)安全的痛苦

采用制定的戰(zhàn)略方法來(lái)管理供應(yīng)鏈的網(wǎng)絡(luò)安全和更廣泛的合規(guī)問題，這樣可以創(chuàng)造了一個(gè)環(huán)境，使涉及供應(yīng)商風(fēng)險(xiǎn)的不同團(tuán)隊(duì)開始使用共享的信息系統(tǒng)來(lái)記錄和可視化供應(yīng)商風(fēng)險(xiǎn)。

通過對(duì)供應(yīng)商進(jìn)行規(guī)范化，保證流程并使用技術(shù)促進(jìn)其在所有領(lǐng)域的執(zhí)行，使得網(wǎng)絡(luò)安全評(píng)估成為整個(gè)供應(yīng)商管理過程中的一部分。通過這種方式，公司可以提高對(duì)供應(yīng)鏈的信心，降低網(wǎng)絡(luò)風(fēng)險(xiǎn)，并減少很多體驗(yàn)的痛苦。

文章來(lái)源：

https://www.helpnetsecurity.com/2022/01/07/supply-chain-cybersecurity/