在數(shù)字化浪潮下，供應(yīng)鏈的安全防線正受到前所未有的考驗，成為網(wǎng)絡(luò)攻擊的重點目標(biāo)。網(wǎng)絡(luò)攻擊不僅可能導(dǎo)致巨大的經(jīng)濟損失，還可能對企業(yè)的聲譽造成不可逆轉(zhuǎn)的損害。本文將探討全球范圍內(nèi)供應(yīng)鏈面臨的網(wǎng)絡(luò)攻擊威脅現(xiàn)狀、供應(yīng)鏈成為攻擊重災(zāi)區(qū)現(xiàn)象的成因，以及如何構(gòu)建有效的供應(yīng)鏈安全計劃和策略。

供應(yīng)鏈側(cè)網(wǎng)絡(luò)攻擊成為業(yè)務(wù)持續(xù)經(jīng)營的巨大隱患

近年來，一些影響深遠的供應(yīng)鏈攻擊已經(jīng)證明了其對全球組織的破壞力。如NotPetya勒索軟件，它通過感染供應(yīng)鏈中的一個環(huán)節(jié)——某會計軟件進行傳播，導(dǎo)致全球超過50,000個端點感染，造成超過100億美元損失。

此外，近期一家美國領(lǐng)先健康保險服務(wù)提供商的信息科技子公司的醫(yī)療支付交換平臺系統(tǒng)遭到勒索軟件攻擊，為集團造成了億美元的損失。該攻擊擾亂了美國醫(yī)療系統(tǒng)，造成了全美范圍內(nèi)醫(yī)療服務(wù)和保險理賠業(yè)務(wù)的嚴重中斷。

表1 供應(yīng)鏈網(wǎng)絡(luò)攻擊案例對比解析

由于供應(yīng)鏈中不同組織之間的相互連接和依賴，這種攻擊能夠迅速從一個單一的點擴散到整個網(wǎng)絡(luò)，影響到全球范圍內(nèi)的公司。包括勒索軟件在內(nèi)的各類網(wǎng)絡(luò)攻擊給業(yè)務(wù)的持續(xù)經(jīng)營造成了嚴重的干擾，并會對聲譽產(chǎn)生重大影響。網(wǎng)絡(luò)攻擊通常會導(dǎo)致生產(chǎn)和發(fā)貨的延遲、庫存問題及由于供應(yīng)鏈的相互聯(lián)系而波及多個行業(yè)的運營中斷。其后的持續(xù)影響還包括財務(wù)損失、交付失敗和延誤所造成的聲譽損害。

根據(jù)Centrify的一項研究［1］，在安全漏洞或事件發(fā)生后，65%的客戶對組織失去信任。世界經(jīng)濟論壇［2］還指出，中斷可能導(dǎo)致工業(yè)生產(chǎn)在1-2年內(nèi)下降4%-5%。供應(yīng)鏈安全事件的影響可能會對聲譽和信任造成毀滅性的影響；該事件的影響可能會影響全球的客戶、利益相關(guān)者和其他公司。

除了損害公司的形象外，事故還可能產(chǎn)生法律監(jiān)管后果。一些公司因沒有采取適當(dāng)?shù)闹卫泶胧ㄈ鐢?shù)據(jù)保護和安全等）而面臨罰款、處罰和清算。

為何供應(yīng)鏈成為網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)？

供應(yīng)鏈的全球互聯(lián)性和復(fù)雜性使其成為網(wǎng)絡(luò)攻擊的首要目標(biāo)。導(dǎo)致供應(yīng)鏈易受攻擊的關(guān)鍵原因有：

1、網(wǎng)絡(luò)威脅復(fù)雜多樣：

復(fù)雜的供應(yīng)鏈場景為攻擊者提供了許多可供利用的載體，從而導(dǎo)致多種多樣的網(wǎng)絡(luò)攻擊持續(xù)發(fā)生，包括內(nèi)部威脅、惡意軟件和勒索軟件、敏感數(shù)據(jù)暴露、固件攻擊、實物盜竊和入侵、未經(jīng)授權(quán)訪問物聯(lián)網(wǎng)設(shè)備、供應(yīng)鏈中介的違規(guī)行為、社會工程等。

2、安全漏洞隱蔽分散：

在現(xiàn)代供應(yīng)鏈中，發(fā)現(xiàn)和彌補安全漏洞對企業(yè)而言是一項極大的挑戰(zhàn)。供應(yīng)鏈涉及眾多環(huán)節(jié)和多方參與者，企業(yè)對于識別上下游合作伙伴的安全漏洞往往存在滯后性，這使得攻擊者能夠長期接觸漏洞并獲得巨大的經(jīng)濟回報。

3、供應(yīng)商管理意識與資源不足：

許多企業(yè)缺乏足夠的供應(yīng)商管理意識和資源來有效地識別和控制供應(yīng)鏈安全風(fēng)險，特別是對于中小企業(yè)來說，由于缺乏有效的安全支持能力，無法應(yīng)對供應(yīng)鏈上下游帶來的安全挑戰(zhàn)。根據(jù)2022年世界經(jīng)濟論壇［3］發(fā)布的《全球網(wǎng)絡(luò)安全展望》，39%的組織已受到第三方網(wǎng)絡(luò)事件的影響。這項調(diào)查顯示，許多組織并未充分評估其供應(yīng)鏈中的第三方，并且可能未被告知他們參與事件的情況。

4、運營技術(shù)（OT）安全默認缺失：

隨著工業(yè)的到來，運營技術(shù)（OT）在供應(yīng)鏈中的使用正隨著IT和OT資產(chǎn)的互聯(lián)融合而快速增長。然而，根據(jù)歐洲網(wǎng)絡(luò)安全局（ENISA）［4］在2022年進行的一項調(diào)查，76%的組織缺乏OT供應(yīng)鏈網(wǎng)絡(luò)安全的專門角色和責(zé)任；僅47%的組織為OT供應(yīng)鏈網(wǎng)絡(luò)安全分配了專屬預(yù)算。其中，制造業(yè)往往比其他行業(yè)更容易受到針對性攻擊。根據(jù)IBM網(wǎng)絡(luò)安全專家2022年的一份報告［5］，制造業(yè)占所有OT攻擊的58%。因為在制造業(yè)中大量使用的OT設(shè)備在默認情況下大多沒有安全保護。

5、風(fēng)險評估執(zhí)行積極度低：

ENISA的調(diào)查數(shù)據(jù)揭示了一個令人擔(dān)憂的事實，即只有37%的組織積極地對其供應(yīng)鏈進行風(fēng)險評估。供應(yīng)鏈領(lǐng)域缺乏風(fēng)險評估的情況也解釋了供應(yīng)鏈攻擊成功案例持續(xù)增加的原因。

圖1 供應(yīng)鏈安全相關(guān)的多項調(diào)查關(guān)鍵數(shù)據(jù)概覽

如何構(gòu)建供應(yīng)鏈安全計劃和策略？

安永《2023全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)力洞察研究》顯示，盡管供應(yīng)鏈帶來的風(fēng)險廣泛存在，網(wǎng)絡(luò)安全發(fā)展中企業(yè)更專注于財務(wù)風(fēng)險，而網(wǎng)絡(luò)安全成熟型企業(yè)（38%）高度關(guān)注供應(yīng)鏈風(fēng)險的可能性幾乎是網(wǎng)絡(luò)安全發(fā)展中企業(yè)（20%）的兩倍；在安永2021年全球信息安全調(diào)查中，67%的CISO（首席信息安全官）不相信其供應(yīng)鏈可以有效抵御網(wǎng)絡(luò)威脅或從網(wǎng)絡(luò)威脅中恢復(fù)過來。那么，供應(yīng)鏈安全到底是什么？供應(yīng)鏈安全是指企業(yè)供應(yīng)鏈中涉及的所有流程、資產(chǎn)和基礎(chǔ)設(shè)施免受威脅的保護和風(fēng)險管理。由于網(wǎng)絡(luò)攻擊的高度危險性，應(yīng)在整個供應(yīng)鏈的基礎(chǔ)設(shè)施中建立安全。構(gòu)建供應(yīng)鏈安全計劃和策略需要一個全面的視角，涵蓋人員、流程和技術(shù)三個方面。

人員

人員是供應(yīng)鏈安全中最關(guān)鍵但也可能是最薄弱的環(huán)節(jié)。構(gòu)建供應(yīng)鏈安全計劃中人員方面的策略可以包括：

? 強制性培訓(xùn)計劃：為內(nèi)部員工和外部供應(yīng)商合作伙伴提供定期的安全意識培訓(xùn)，以增強其安全知識，并了解其如何影響供應(yīng)鏈。培訓(xùn)內(nèi)容應(yīng)包括敏感信息保護意識、遵守安全協(xié)議、權(quán)限管理、OT技術(shù)和社會工程等。

? 桌面演練：設(shè)計切合實際的桌面演練，以促進事件響應(yīng)的協(xié)作，確保所有人員都為潛在的事件做好準備。

? 內(nèi)部認證：制定內(nèi)部認證計劃，確保員工具備執(zhí)行安全相關(guān)任務(wù)的資格和能力。

流程

供應(yīng)鏈的運作在很大程度上依賴于明確定義的流程。因此，穩(wěn)健的管理流程將有助于減輕一部分供應(yīng)鏈安全風(fēng)險。流程方面需要重點關(guān)注的要素包括：

? 治理和合規(guī)：供應(yīng)鏈安全倡議的第一步是調(diào)整政策、標(biāo)準，以及數(shù)據(jù)保護制度。通過參考一些重要的網(wǎng)絡(luò)安全實踐和標(biāo)準，將標(biāo)準化安全控制納入供應(yīng)鏈，并實施法律要求的隱私與合規(guī)控制，有效增強其整體安全態(tài)勢。

? 第三方管理：對供應(yīng)商和合作伙伴進行風(fēng)險評估、分級和持續(xù)監(jiān)控，簽署服務(wù)級別協(xié)議，建立第三方風(fēng)險數(shù)據(jù)庫；為供應(yīng)商建立一個安全的溝通渠道，確保在發(fā)現(xiàn)新的漏洞時及時通知所有各方。

? 事件響應(yīng)運行手冊：制定詳細的事件響應(yīng)運行手冊，包括恢復(fù)點目標(biāo)（RPO）和恢復(fù)時間目標(biāo)（RTO）。

? 網(wǎng)絡(luò)資產(chǎn)生命周期管理：對網(wǎng)絡(luò)資產(chǎn)進行全生命周期管理，確保從采購到停用的每個階段都符合企業(yè)的安全標(biāo)準。

技術(shù)

技術(shù)是保護供應(yīng)鏈免受網(wǎng)絡(luò)攻擊事件影響的工具。構(gòu)建供應(yīng)鏈安全計劃中技術(shù)方面的策略包括：

? 安全控制塔：開發(fā)和實施供應(yīng)鏈控制塔，利用實時數(shù)據(jù)提供關(guān)鍵的網(wǎng)絡(luò)安全指標(biāo)。

? 供應(yīng)鏈架構(gòu)重新設(shè)計：采用“安全設(shè)計”概念，重新檢查和優(yōu)化設(shè)計其企業(yè)資源規(guī)劃（ERP）以及數(shù)據(jù)架構(gòu)和基礎(chǔ)設(shè)施。

? 供應(yīng)鏈DevSecOps：實施DevSecOps，通過持續(xù)集成和部署最新的OT、物聯(lián)網(wǎng)設(shè)備和軟件更新，并實施監(jiān)控和自動化，將安全整合到軟件開發(fā)、運營的每個階段。

? 數(shù)據(jù)保護：通過數(shù)據(jù)安全治理、數(shù)據(jù)加密和數(shù)據(jù)防泄漏技術(shù)保護敏感數(shù)據(jù)。

? 安全性測試：對OT和IoT設(shè)備進行安全性測試，包括代碼審查、靜態(tài)/動態(tài)應(yīng)用程序安全測試等，確保沒有后門和關(guān)鍵漏洞。

? 身份訪問管理（IAM）：利用單點登錄（SSO）和多因素身份驗證（MFA）等IAM技術(shù)在整個組織中集成安全性，實施基于角色的身份和訪問管理解決方案來保護資源。

安永支持企業(yè)做好供應(yīng)鏈安全建設(shè)工作

安永為企業(yè)提供一系列服務(wù)來幫助構(gòu)建和維護其供應(yīng)鏈安全。這些服務(wù)包括但不限于：

供應(yīng)鏈安全體系轉(zhuǎn)型咨詢

? 建立或加強供應(yīng)鏈安全計劃和策略：提供適當(dāng)?shù)闹卫怼⒘鞒毯惋L(fēng)險框架，包括管理和監(jiān)督、政策和標(biāo)準、第三方清單、風(fēng)險管理方法和模型等。

? 定義供應(yīng)鏈安全管理要求：定義基本的信息安全要求，以支持所有產(chǎn)品和服務(wù)的采購和供應(yīng)，如產(chǎn)品的制造或裝配、業(yè)務(wù)流程采購、軟件和硬件的組件、知識流程采購和云計算服務(wù)等。

? 設(shè)計供應(yīng)鏈安全管理流程：圍繞供應(yīng)商關(guān)系生命周期，為供應(yīng)商關(guān)系規(guī)劃、供應(yīng)商選擇、供應(yīng)商關(guān)系協(xié)議、供應(yīng)商關(guān)系管理、供應(yīng)商關(guān)系終結(jié)的全過程提供可落地的標(biāo)準流程。

供應(yīng)鏈安全風(fēng)險評估：

幫助企業(yè)了解供應(yīng)鏈的結(jié)構(gòu)，識別供應(yīng)鏈中可能存在的安全風(fēng)險（如惡意篡改、假冒偽劣、供應(yīng)中斷、信息泄露等）；確定風(fēng)險的可能性和影響程度，對風(fēng)險進行分類和優(yōu)先級排序；根據(jù)風(fēng)險評估的結(jié)果，制定風(fēng)險處置計劃。

供應(yīng)鏈安全聯(lián)合運營：

? 供應(yīng)商安全評估執(zhí)行：使用企業(yè)特定安全要求與框架，開展現(xiàn)場/遠程調(diào)研和審查供應(yīng)商安全能力,識別基于業(yè)務(wù)場景的實際安全風(fēng)險，制定風(fēng)險控制措施，確保其符合企業(yè)的安全標(biāo)準。

? 安全培訓(xùn)：為供應(yīng)商提供安全培訓(xùn)，提高其供應(yīng)鏈安全意識與能力，加強供應(yīng)商對于公司服務(wù)的安全重視程度。

? 持續(xù)監(jiān)督：建立監(jiān)督機制，持續(xù)評估供應(yīng)商的安全表現(xiàn)，指導(dǎo)供應(yīng)商優(yōu)化提升自身安全管理水平。

技術(shù)實施和支持：

提供專業(yè)的技術(shù)支持，推薦適合企業(yè)需求的安全技術(shù)工具和解決方案，制定相關(guān)策略并協(xié)助實施，賦能企業(yè)掌握完整功能，有效預(yù)防、監(jiān)控、緩解企業(yè)供應(yīng)鏈安全風(fēng)險。

此外，安永還可以通過政策和標(biāo)準制定、事件響應(yīng)計劃制定、合規(guī)性評估等專項咨詢服務(wù)助力企業(yè)優(yōu)化供應(yīng)鏈安全管控，建立一個更加安全和有韌性的供應(yīng)鏈，以抵御不斷演變的網(wǎng)絡(luò)威脅。

結(jié)語

安全措施的實施對于發(fā)現(xiàn)、保護和應(yīng)對因網(wǎng)絡(luò)問題導(dǎo)致的供應(yīng)鏈中斷至關(guān)重要。供應(yīng)鏈中可能發(fā)生的網(wǎng)絡(luò)攻擊的受害者不僅會遭受財務(wù)損失，還會遭受嚴重的聲譽損害，從而削弱供應(yīng)鏈合作伙伴、客戶和利益相關(guān)者之間的信任。

為了建立一個有韌性的供應(yīng)鏈，企業(yè)必須制定一個包括人員、流程和技術(shù)方面的供應(yīng)鏈安全計劃。一個有韌性的供應(yīng)鏈能夠抵御各種挑戰(zhàn)，有助于公司實現(xiàn)長期業(yè)務(wù)目標(biāo)，在充滿挑戰(zhàn)的業(yè)務(wù)環(huán)境中為持續(xù)增長、盈利能力和成功做好定位。然而，實施安全保護不是一次性的努力，它需要持續(xù)評估、主動改進和長效治理。我們將在接下來的文章中，繼續(xù)深入探討供應(yīng)鏈網(wǎng)絡(luò)安全風(fēng)險評估方法、評估工具，以及供應(yīng)鏈網(wǎng)絡(luò)安全體系建設(shè)等專項課題，持續(xù)為公司提升供應(yīng)鏈網(wǎng)絡(luò)安全防御能力提供幫助。