切莫讓供應(yīng)鏈成為網(wǎng)絡(luò)中最薄弱的環(huán)節(jié)
2019年03月20日
近年來��,中國供應(yīng)鏈?zhǔn)袌?chǎng)發(fā)展迅速�����,并呈現(xiàn)出巨大潛力�����。據(jù)前瞻產(chǎn)業(yè)研究院《2016-2020年中國供應(yīng)鏈管理服務(wù)行業(yè)市場(chǎng)前瞻與商業(yè)模式分析報(bào)告》顯示���,2015年����,中國物流及供應(yīng)鏈相關(guān)總支出約14815億美元�����,其中物流及供應(yīng)鏈成本占GDP的比重為15%��。同時(shí)����,70%的物流及供應(yīng)鏈外包服務(wù)提供商年均業(yè)務(wù)增幅高于20%。
另一方面����,隨著中國供應(yīng)鏈?zhǔn)袌?chǎng)的繁榮發(fā)展����,第三方供應(yīng)商持續(xù)遭到網(wǎng)絡(luò)攻擊威脅���,致使企業(yè)安全網(wǎng)絡(luò)環(huán)境受到破壞��。究其原因�����,是企業(yè)無法對(duì)供應(yīng)鏈伙伴所使用的安全措施實(shí)現(xiàn)持續(xù)控制���,無法預(yù)知潛在威脅,也缺少足夠的資源來實(shí)施高規(guī)格安全管理�����,這就使得供應(yīng)鏈發(fā)展成為網(wǎng)絡(luò)中最薄弱的環(huán)節(jié)��。網(wǎng)絡(luò)攻擊者會(huì)優(yōu)先滲透進(jìn)供應(yīng)鏈合作方���,然后再尋找機(jī)會(huì)攻擊企業(yè)�����。Palo Alto Networks(派拓網(wǎng)絡(luò))認(rèn)為����,企業(yè)及其合作伙伴需要充分認(rèn)識(shí)這一風(fēng)險(xiǎn)����,并采取行動(dòng)相互保護(hù)。
軟件供應(yīng)鏈攻擊往往是毀滅性的�����,因?yàn)樗茐牧塑浖?yīng)商與消費(fèi)者之間的最基本信任���。攻擊者通常會(huì)避開傳統(tǒng)網(wǎng)絡(luò)防御系統(tǒng)���,對(duì)軟件及其交付流程發(fā)起攻擊,從而借助一次攻擊破壞多個(gè)系統(tǒng)����。使用這些受損軟件的企業(yè)可能被勒索軟件攻擊劫持,丟失寶貴的專利信息并遭受商業(yè)損失��。
企業(yè)之間的連接性日益緊密,這種連接性在為企業(yè)帶來商業(yè)利益的同時(shí)�����,也帶來了安全風(fēng)險(xiǎn)�。網(wǎng)絡(luò)犯罪分子非常了解這些連接,并會(huì)利用它們?cè)L問那些保護(hù)不佳的網(wǎng)絡(luò)���,供應(yīng)鏈中涉及的企業(yè)之所以被攻擊者鎖定�,是因?yàn)樗麄兺ǔo法預(yù)知潛在威脅�����,也缺少足夠的資源來實(shí)施高規(guī)格安全管理�����。網(wǎng)絡(luò)攻擊者會(huì)優(yōu)先選擇小型企業(yè)�����,在系統(tǒng)潛伏多年后攻擊企業(yè)薄弱點(diǎn)�。
在當(dāng)今物聯(lián)網(wǎng)��,數(shù)字貿(mào)易關(guān)系,以及機(jī)器人流程自動(dòng)化領(lǐng)域����,可形成破壞的網(wǎng)絡(luò)漏洞大幅增加。企業(yè)雖已經(jīng)準(zhǔn)備好相應(yīng)安全工具并已采取相應(yīng)防護(hù)措施�,但仍需咨詢供應(yīng)商,以及供應(yīng)商的供應(yīng)商����,進(jìn)而確保整個(gè)供應(yīng)鏈里的各家廠商都采用統(tǒng)一的保護(hù)等級(jí)。
有鑒于此����,全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè)Palo Alto Networks(派拓網(wǎng)絡(luò))推薦以下三種方法來確保供應(yīng)鏈安全無虞,包括:
1. 審查內(nèi)部和外部安全流程:企業(yè)應(yīng)審查內(nèi)部以及供應(yīng)商和合作伙伴的基礎(chǔ)設(shè)施架構(gòu)���。雖然企業(yè)內(nèi)部系統(tǒng)可能采取了強(qiáng)大的安全措施來阻截各種直接攻擊��,但第三方合作伙伴卻不一定遵循相同的嚴(yán)格標(biāo)準(zhǔn)���。因此,企業(yè)在將供應(yīng)商完全整合至內(nèi)部基礎(chǔ)架構(gòu)之前�,需優(yōu)先實(shí)施供應(yīng)商審查計(jì)劃。
2. 制定書面安全指南和控制措施:網(wǎng)絡(luò)犯罪分子可以使用供應(yīng)商的網(wǎng)站來托管惡意軟件���。因此���,無論供應(yīng)商是否有高級(jí)網(wǎng)絡(luò)安全技術(shù)資源����,企業(yè)都應(yīng)盡量要求他們遵循相關(guān)流程和協(xié)議���,以便最大限度地降低產(chǎn)生此類攻擊漏洞的可能性��。企業(yè)可在書面協(xié)議中要求供應(yīng)商及時(shí)通告其內(nèi)部所有安全事件��,并定期提交安全報(bào)告以確定其網(wǎng)絡(luò)安全狀態(tài)�����。
3. 對(duì)員工和供應(yīng)商進(jìn)行最佳安全實(shí)踐培訓(xùn)/分享:技術(shù)至關(guān)重要�����,但人為失誤仍然是造成當(dāng)前數(shù)據(jù)泄露的頭號(hào)原因����。IBM最新《網(wǎng)絡(luò)安全情報(bào)索引》顯示95%的安全事件都是人為失誤造成��,從點(diǎn)擊鏈接���、釣魚郵件到瀏覽不良網(wǎng)站等不同來源感染病毒����,進(jìn)而成為其他高級(jí)持續(xù)性威脅(APT)的攻擊對(duì)象���。
企業(yè)必須對(duì)所有員工進(jìn)行最佳安全實(shí)踐培訓(xùn)�,以幫助他們更好地識(shí)別潛在攻擊�。此外,安全培訓(xùn)項(xiàng)目應(yīng)持續(xù)更新內(nèi)容���,從而將這些雇員打造成為防范此類安全事件的第一道堅(jiān)固防線���。
最后,在保護(hù)公司知識(shí)產(chǎn)權(quán)和客戶信息方面�����,企業(yè)必須重視供應(yīng)鏈帶來的風(fēng)險(xiǎn)���。網(wǎng)絡(luò)犯罪分子會(huì)對(duì)企業(yè)網(wǎng)絡(luò)安全進(jìn)行地毯式掃描����,一旦發(fā)現(xiàn)漏洞便發(fā)起攻擊。作為企業(yè)必須填補(bǔ)好每個(gè)漏洞�,包括供應(yīng)鏈所有環(huán)節(jié)。
備注1:報(bào)告內(nèi)容來自文章《中國供應(yīng)鏈管理專題市場(chǎng)調(diào)研分析》
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全�、運(yùn)維平臺(tái)建設(shè)、動(dòng)漫設(shè)計(jì)����、軟件研發(fā)、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀�����。公司遵循信息安全整體性的IATF模型�����,從“人員素養(yǎng)”����、“制度流程”、“技術(shù)產(chǎn)品”三個(gè)視角提供全面�����、可信的方案,業(yè)務(wù)涵蓋咨詢����、評(píng)估���、規(guī)劃�����、管控�、建設(shè)�����、培訓(xùn)等�����。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商��。
