SANS:实现供应链安全项目的五个关键因素

大约4年前,网络犯罪分子开始以供应链作为攻击重要目标的一种方式,越来越多的安全事件表明,建立安全供应链并经常进行更新的必要性。同时,供应链安全对首席信息安全官而言变得越来越重要。

越来越多的安全事件表明,建立安全供应链并经常进行更新的必要性。同时,供应链安全对首席信息安全官而言变得越来越重要。

犯罪分子和国家资助的黑客一直在寻找易受攻击的目标,导致对供应链的网络攻击也在持续增加。正如SANS研究所最近在一份关于供应链安全成功模式的报告中指出的那样,一些轰动性的事件表明了建立安全供应链并经常进行更新的重要性。

SANS:实现供应链安全项目的五个关键因素

· 去年4月,很多美国企业的外包商—印度Wipro公司的可信网络被攻破了,并被犯罪分子所利用,对这家印度公司的客户发动了网络攻击。

· 去年5月,Adobe旗下的Magento电子商务平台以及7000多个商业应用程序中的其他第三方服务遭到攻击,导致Ticketmaster等多家公司的密码和其他敏感信息被盗。

· 去年5月,一家第三方承包商向环球音乐集团(Universal Music Group)的内部服务器公开了敏感证书,导致存储在这些服务器上的敏感信息面临很大的风险。

· 去年7月,英国信息专业委员会对英国航空公司(British Airways)处以2.3亿美元的罚款,占其2017年净销售额的1.5%,原因是该公司网站及其应用程序被恶意软件感染,导致大约50万名客户的敏感信息被转移到了恶意网站。

该报告的作者、SANS新兴趋势主管John Pescatore解释道:“大约4年前,网络犯罪分子开始以供应链作为攻击重要目标的一种方式,供应链安全对于首席信息安全官而言变得更为重要了。”供应链安全最近备受关注,原因是一些人对供应链的攻击激起了媒体对这方面的兴趣。

总部位于芝加哥的咨询公司Liberty咨询集团(LAG)负责人Armond aglar补充道:“犯罪分子越来越倾向于利用第三方供应商和分包商的漏洞,因为这些实体的防御措施往往形同虚设。”

SANS报告研究确定了有效供应链安全项目的五个关键因素:

1.明确供应链安全责任人

SANS的报告指出,在管理链中必须有人负责安全问题,涉及到供应链安全的决策一定是由高层做出的。这位关键人物可以是董事会成员、首席执行官、首席运营官、首席信息官或者采购主管。要培养这类责任人,首先要求首席信息安全官或者安全管理人员与管理层建立信任,然后与他们合作,而不能只是发布安全指令就算完成工作了。

aglar指出,责任人应受到其上层决策者的信任,并且应该与其他相关高管平起平坐。他说:“如果没有这样的内部行政机制,当面临困扰很多业务部门的传统资源和预算限制问题时,一个合适的供应链项目可能会被归类为高成本项目,导致其风险缓解工作被搁置。”

Webroot是一家保护计算机免受病毒、恶意软件和网络钓鱼攻击的软件制造商,该公司工程副总裁David Dufour补充说,不仅要有责任人,而且责任人必须是称职的,这一点非常重要。他解释说:“供应链安全的合适责任人应该对安全有深入的了解,但他们关注的重点不应仅以安全为中心。他们还必须考虑到业务因素,制订一个非常全面的流程。”

SANS的Pescatore承认,对于安全状况比较成熟的大型公司来说,可能不需要一个责任人。他说:“大公司不需要像IT那样的责任人,其职责应由IT安全部门承担起来,证明他们如同业务部门那样,很快地实现供应链安全。否则,业务部门会说,‘我们宁愿承担风险,也不愿失去市场份额。’”

2.熟知自己的供应商

报告解释说,任何成功安全项目的基础都是从资产管理、漏洞评估和配置控制开始的。报告指出,如果你不了解要保护的东西,那就无法保证其安全,即使你了解了情况,还必须能检测到风险态势何时发生了变化。

报告接着指出,在供应链安全中,相应的是产品线管理。这意味着找到所有供应链合作伙伴——从一级合作伙伴到供应商扩展网络,并定期评估漏洞,检测暴露风险有什么变化。不过,这可能是一项艰巨的任务。

自动威胁管理解决方案提供商Vectra网络公司的安全分析主管Chris Morales介绍说:“在一些企业中,采用一家新供应商就像人们使用信用卡那么简单,注册某项服务,就能为自己带来便利。企业每天都在做出类似的决定,但不包括安全部门的安全审计或者建议。”

SANS:实现供应链安全项目的五个关键因素

提供数字风险保护解决方案的数字影子公司(Digital Shadows)战略副总裁Rick Holland补充道,评估供应链是企业可以承担的风险管理工作中最具挑战性的一项工作。他解释说:“一家跨国企业的供应链中很容易就有1000多家公司。在数字化转型时代,很多供应链上都有SaaS供应商,他们比传统的本地供应商更容易被取代。其结果是一个不断演进的瞬态供应链。”

Holland继续解释说:“更复杂的是,一家企业的并购活动越多,其供应链就越复杂。所有这些因素都导致供应链风险管理变成了一项艰巨的任务。”

3.扩展多供应链风险评估方法

报告提醒说,通用的风险评估方法并不适用于大多数企业。报告解释道,为了支持业务响应需求并能够更持续地监控风险等级,可能需要结合使用各种方法——从快速的“第一眼”评估到详细、深入的评估等。

报告继续指出,无论是在整体上还是在供应链管理方面,安全部门被忽视的一个普遍原因是“安全部门行动太慢”。报告解释说,业务部门通常要求业务经理能承受一定程度的风险,因为推迟上市的风险更大。报告指出,供应链安全计划应具备分层评估能力,以支持业务需求。

网络安全服务提供商PerimeterX的安全拓展专员Deepak Patel说:“安全部门应了解业务以及促进业务增长的要素。他们应根据业务输入,对威胁进行优先级排序。”

Webroot公司的Dufour补充道:“很多安全部门的行动确实太慢了。这好有一比,他们实际上只需要一辆自行车去商店买饼干,但却建造了企业号星际飞船,要飞到别的太阳系去。”

跨国网络安全公司Palo Alto网络公司负责安全运维的副总裁Eric Haller认为,“行动太慢”其实是计划不太好的一种迹象。他说:“这是安全部门参与过程太晚,没有整合业务部门需求的征兆。与业务部门建立合作伙伴关系,及早参与,并根据结果进行调整,这是避免业务放缓的最佳方式。”

自动化是避免行动太慢的另一种方法。在总部位于英国的全球叫车服务公司Gett,因为部署了Panorays公司的自动化解决方案,从而解决了供应链安全问题。

其首席信息安全官Eyal Sasson解释道:“公司需要认识到一个新的系统已经到位,并且必须通过安全审查程序才能与供应商合作。”他继续解释说,“然而,在使用了我们实施的解决方案一个月之后,由于自动化解决方案的速度非常快,员工们并没有感觉到他们的过程中出现过小问题。该平台成为了整个供应商进入供应链过程中不可或缺的一步。”

4.扩展仪表盘,并向业务部门和IT经理报告

报告建议使用供应链安全流程和工具,以可视化方式向非安全人员提供当前风险视图,使他们能够在决策中纳入风险信息。报告指出,应该将安全系统集成到任何现有的过程中,以便对供应商及合作伙伴的财务和生存能力风险进行评估。而如果没有安全系统,供应链安全报告的可视化样式或者可视化数据就应该与采购、物流和业务运维经理所熟悉的尽可能相似。

SANS:实现供应链安全项目的五个关键因素

LAG的aglar说:“我们经常听到这种说法,但这确实是事实:安全不是IT问题。这是一个普遍的业务难题,需要企业所有相关方的接受和参与。”他继续说:“业务部门往往负责管理代表他们提供外包服务的供应商。各个业务部门使用仪表盘,可以针对风险较高的供应商生成有价值的数据,这些供应商在某些方面累积了很高的风险,需要采取行动了。”

aglar补充说:“这可以让业务部门坚持采用某些技术或者管理控制措施,作为与供应商继续开展业务的条件,甚至作为重新谈判服务等级协议条款的手段。”

5.与供应商保持闭环

报告解释说,制造商很早以前就知道,仅仅淘汰劣质供应商并不是成功实现质量控制计划的好方法。他们意识到他们必须“闭环”——提供反馈以鼓励所有供应商采用质量更高的流程。

报告接着指出,供应链安全计划也是如此。一个有效的供应链安全计划必须包括针对供应商的反馈,以及以可视化的方式提供评估和评级结果,目的是纠正未解决的问题并从整体上推动改进。

报告提醒企业领导人,当针对供应链合作伙伴的攻击取得成功时,客户会责怪企业,而不是供应链。报告指出,可以通过基本的安全环境防护措施来抵御针对供应链的大多数直接攻击,这是一个关键的基本因素。供应链安全计划应非常灵活,只有这样才能跟得上采购决策的规模和速度。

报告补充说,好消息是,对于很多董事会和客户来说,他们认为供应链安全是重中之重。报告还指出,通过展示一种改进或者创建供应链安全计划的战略方法,安全管理人员能够获得必要的变革支持,从而更有效地提高供应链的安全性。

作者:John Mello为很多网络出版物撰写技术和网络安全方面的文章,曾任《波士顿商业杂志》和《波士顿凤凰报》的总编辑


版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/440.html

发表评论

登录后才能评论
跳至工具栏