切莫讓供應鏈成為網(wǎng)絡中最薄弱的環(huán)節(jié)
2019年03月20日
近年來����,中國供應鏈市場發(fā)展迅速,并呈現(xiàn)出巨大潛力����。據(jù)前瞻產業(yè)研究院《2016-2020年中國供應鏈管理服務行業(yè)市場前瞻與商業(yè)模式分析報告》顯示,2015年��,中國物流及供應鏈相關總支出約14815億美元��,其中物流及供應鏈成本占GDP的比重為15%����。同時�,70%的物流及供應鏈外包服務提供商年均業(yè)務增幅高于20%���。
另一方面,隨著中國供應鏈市場的繁榮發(fā)展����,第三方供應商持續(xù)遭到網(wǎng)絡攻擊威脅,致使企業(yè)安全網(wǎng)絡環(huán)境受到破壞����。究其原因,是企業(yè)無法對供應鏈伙伴所使用的安全措施實現(xiàn)持續(xù)控制��,無法預知潛在威脅����,也缺少足夠的資源來實施高規(guī)格安全管理,這就使得供應鏈發(fā)展成為網(wǎng)絡中最薄弱的環(huán)節(jié)��。網(wǎng)絡攻擊者會優(yōu)先滲透進供應鏈合作方����,然后再尋找機會攻擊企業(yè)。Palo Alto Networks(派拓網(wǎng)絡)認為�,企業(yè)及其合作伙伴需要充分認識這一風險����,并采取行動相互保護��。
軟件供應鏈攻擊往往是毀滅性的���,因為它破壞了軟件供應商與消費者之間的最基本信任��。攻擊者通常會避開傳統(tǒng)網(wǎng)絡防御系統(tǒng)����,對軟件及其交付流程發(fā)起攻擊���,從而借助一次攻擊破壞多個系統(tǒng)���。使用這些受損軟件的企業(yè)可能被勒索軟件攻擊劫持,丟失寶貴的專利信息并遭受商業(yè)損失��。
企業(yè)之間的連接性日益緊密����,這種連接性在為企業(yè)帶來商業(yè)利益的同時,也帶來了安全風險。網(wǎng)絡犯罪分子非常了解這些連接�����,并會利用它們訪問那些保護不佳的網(wǎng)絡��,供應鏈中涉及的企業(yè)之所以被攻擊者鎖定��,是因為他們通常無法預知潛在威脅���,也缺少足夠的資源來實施高規(guī)格安全管理。網(wǎng)絡攻擊者會優(yōu)先選擇小型企業(yè)���,在系統(tǒng)潛伏多年后攻擊企業(yè)薄弱點�。
在當今物聯(lián)網(wǎng)�����,數(shù)字貿易關系���,以及機器人流程自動化領域�,可形成破壞的網(wǎng)絡漏洞大幅增加�����。企業(yè)雖已經(jīng)準備好相應安全工具并已采取相應防護措施,但仍需咨詢供應商����,以及供應商的供應商,進而確保整個供應鏈里的各家廠商都采用統(tǒng)一的保護等級��。
有鑒于此���,全球網(wǎng)絡安全領導企業(yè)Palo Alto Networks(派拓網(wǎng)絡)推薦以下三種方法來確保供應鏈安全無虞�,包括:
1. 審查內部和外部安全流程:企業(yè)應審查內部以及供應商和合作伙伴的基礎設施架構��。雖然企業(yè)內部系統(tǒng)可能采取了強大的安全措施來阻截各種直接攻擊����,但第三方合作伙伴卻不一定遵循相同的嚴格標準。因此��,企業(yè)在將供應商完全整合至內部基礎架構之前��,需優(yōu)先實施供應商審查計劃���。
2. 制定書面安全指南和控制措施:網(wǎng)絡犯罪分子可以使用供應商的網(wǎng)站來托管惡意軟件�。因此,無論供應商是否有高級網(wǎng)絡安全技術資源��,企業(yè)都應盡量要求他們遵循相關流程和協(xié)議���,以便最大限度地降低產生此類攻擊漏洞的可能性�����。企業(yè)可在書面協(xié)議中要求供應商及時通告其內部所有安全事件�����,并定期提交安全報告以確定其網(wǎng)絡安全狀態(tài)�����。
3. 對員工和供應商進行最佳安全實踐培訓/分享:技術至關重要,但人為失誤仍然是造成當前數(shù)據(jù)泄露的頭號原因����。IBM最新《網(wǎng)絡安全情報索引》顯示95%的安全事件都是人為失誤造成,從點擊鏈接���、釣魚郵件到瀏覽不良網(wǎng)站等不同來源感染病毒��,進而成為其他高級持續(xù)性威脅(APT)的攻擊對象����。
企業(yè)必須對所有員工進行最佳安全實踐培訓,以幫助他們更好地識別潛在攻擊�。此外,安全培訓項目應持續(xù)更新內容�,從而將這些雇員打造成為防范此類安全事件的第一道堅固防線。
最后�����,在保護公司知識產權和客戶信息方面�,企業(yè)必須重視供應鏈帶來的風險。網(wǎng)絡犯罪分子會對企業(yè)網(wǎng)絡安全進行地毯式掃描�����,一旦發(fā)現(xiàn)漏洞便發(fā)起攻擊����。作為企業(yè)必須填補好每個漏洞,包括供應鏈所有環(huán)節(jié)���。
備注1:報告內容來自文章《中國供應鏈管理專題市場調研分析》
江蘇國駿信息科技有限公司在信息網(wǎng)絡安全��、運維平臺建設�、動漫設計、軟件研發(fā)�����、數(shù)據(jù)中心領域具備十多年的行業(yè)沉淀�。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”��、“制度流程”�����、“技術產品”三個視角提供全面�����、可信的方案��,業(yè)務涵蓋咨詢�、評估�����、規(guī)劃、管控���、建設�����、培訓等���。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商。
