在日益複雜的地緣政治格局下,供應鏈安全日益受到關注。大多數企業都與第三方(通常位於不同國家)合作,以管理其係統並創建、製造和交付產品。然而,這意味著供應鏈漏洞是一個實際的威脅,可能會影響企業的營運。隨著企業越來越依賴OpenAI和Meta等雲端服務,這個問題顯得特別重要,因為這些服務都可能帶來重大威脅。
許多國家已將安全供應鏈管理列入國家議程,並透過相關建議和立法來確保這些關鍵全球網路的完整性。然而,企業仍然有責任有效管理其供應鏈網絡,尤其是在許多業務功能都在線上和雲端管理的情況下。
讓我們來看看在當今的商業環境中,哪些供應鏈漏洞最為關鍵,以及如何降低這些風險。
什麼是供應鏈攻擊?
供應鏈攻擊是指攻擊者利用供應鏈中的漏洞入侵企業網路的特定網路威脅。雖然大多數企業都需要與第三方供應商合作,但這些外部供應商通常需要企業提供敏感資料才能將其整合到自己的系統中。如果供應商遭到入侵,那麼與其合作的所有客戶——也就是他們的企業——也可能遭受資料外洩的損失。
供應鏈網路攻擊的類型
供應鏈攻擊的形式多種多樣,取決於攻擊者選擇攻擊供應鏈中的哪個環節以及攻擊方式。以下是一些供應鏈攻擊的例子:
- 惡意軟體:許多供應鏈攻擊都是透過病毒、勒索軟體和其他惡意軟體實施的。
- 網路釣魚攻擊:可能涉及使用社會工程技巧來誘騙公司員工洩露敏感資料或使用者憑證。
- 分散式阻斷服務 (DDoS)攻擊: DDoS 攻擊會透過大量流量阻塞組織的網絡,造成重大中斷,導致供應鏈停滯。
- 破壞供應商:在這種情況下,攻擊者透過攻擊企業供應商網路中的弱點來破壞供應鏈安全。
- 供應商詐欺:不可信的供應商可能會提供供應鏈安全有漏洞的產品和服務。
- 軟體篡改:攻擊者可能會篡改合法軟體,引入漏洞,這些漏洞隨後可能被利用來實施攻擊。
- 資料篡改:攻擊者故意偽造企業供應鏈中的資料。
- 網路入侵:指供應商和客戶之間的網路或連網設備遭到破壞;這可能包括物聯網設備和網路硬體。
供應鏈漏洞
隨著供應鏈變得越來越複雜,供應鏈網路安全面臨的挑戰也隨之增加。以下是當今安全供應鏈管理領域一些最迫切的問題:
- 供應商表現不佳,源自於政治或經濟依賴,或易受自然災害影響。
- 由於無法準確預測需求,導致需求計劃複雜化。
- 全球範圍內熟練勞動力短缺,尤其是在了解供應鏈安全監控和最佳實踐方面。
- 經濟波動加劇、通貨膨脹上升、價格可預測,使得與供應商談判和有效管理庫存變得困難。
- 錯綜複雜的全球和地方制裁及法規網絡。
- 地緣政治緊張局勢可能會擾亂或複雜化供應鏈。
- 供應商在環境、社會和治理 (ESG) 方面的不合格做法可能會造成聲譽損害。
- 氣候變遷可能引發的自然災害。
- 供應商和組織過度依賴雲端運算和其他數位技術,導致網路風險增加。
員工和供應鏈脆弱性
員工應是企業供應鏈攻擊防範的關鍵防線。他們可能接觸到公司的敏感資料或擁有存取這些資料的登入憑證。因此,有些供應鏈攻擊會以員工為目標,使他們在不知不覺中成為攻擊媒介。這些攻擊通常利用網路釣魚郵件和社會工程手段來存取第三方供應商的網絡,並滲透到目標企業的網路中。
因此,企業及其供應鏈供應商必須確保員工了解供應鏈安全最佳實務。這可以保護公司及其客戶。
許多公司將嚴格的員工安全意識培訓計畫作為其供應鏈韌性策略的一部分。這些計劃可能包括:
- 透過真實案例說明供應鏈攻擊的運作方式;
- 常見的網路釣魚詐騙和社會工程技巧;
- 互動式培訓以增強學習效果;
- 針對特定威脅(例如惡意軟體)的講解;
- 實施存取控制,使員工了解哪些人可以存取哪些資料;
- 學習如何與第三方供應商安全合作,例如製定安全要求和定期進行審計。
- 如何妥善管理和共享敏感數據,包括身份驗證。
- 安全通訊方式的重要性。
卡巴斯基提供多種培訓項目和工具,供應商可以利用這些項目和工具來提升員工在供應鏈中的網路安全意識。例如,卡巴斯基安全意識工具可以評估員工的網路安全技能,而卡巴斯基自動化安全意識平台則提供有關如何緩解網路釣魚等網路威脅以及防止聲譽損害的寶貴知識。
供應鏈安全的關鍵步驟
企業可以採取多種措施來增強其業務內部的供應鏈安全。以下是一些最值得推薦的措施:
- 實施蜜罐令牌,蜜罐令牌在遭受攻擊時充當誘餌,並提醒組織注意入侵企圖。
- 使用強大的雲端安全解決方案。
- 使用有效的特權存取管理框架,以防止常見的攻擊序列——攻擊者透過橫向行動網路尋找特權帳戶以存取敏感資料;這包括偵測第三方外洩、實施身分存取管理以及加密所有內部資料。
- 對員工進行常見供應鏈安全威脅的培訓,包括網路釣魚詐騙、社會工程、DDoS 攻擊和勒索軟體。
- 實施零信任架構,只有在連接請求通過嚴格評估後才允許存取智慧財產權—這對於遠端工作也很有用。
- 識別並緩解潛在的內部威脅—儘管具有挑戰性,但定期的員工參與和開放的工作文化有助於在員工變得敵對甚至惡意之前識別出公司範圍內的問題。
- 透過與供應商溝通並繪製潛在攻擊途徑圖,識別易受攻擊的資源。
- 透過最大限度地減少特權存取來限制對敏感資料的訪問,並記錄所有有權訪問敏感資料的員工和供應商。
- 透過在合約中概述資料存取和使用的標準和要求,確保供應商擁有內部安全措施—明確規定如果供應商遭受資料洩露,必須通知組織。
- 供應商多元化,以降低潛在的供應鏈脆弱性。
- 假設資料外洩不可避免,並保護員工、流程和設備免受損害——這可能包括使用防毒軟體、多因素身份驗證和攻擊面監控解決方案。
- 了解全球勞動力短缺如何影響供應鏈,並找到相應的供應鏈彈性策略。
合法化與供應鏈安全
儘管大多數供應鏈考量都集中在企業層面,但許多政府正在關注並實施國家層面的安全措施。這是因為供應鏈問題可能對國家產生重大影響。
以下概述了一些國家如何加強供應鏈安全:
歐盟
歐盟正透過新的NIS2指令加強供應鏈安全管理。該指令概述了三種強化供應鏈安全的機制:歐盟層級的協調風險評估;成員國層級的國家風險評估;以及企業內部的風險評估。
遵守NIS2指令可能需要企業:
- 考慮每個供應商的漏洞,包括其網路安全措施;
- 按照第22(1)條的規定對關鍵供應鏈進行風險評估,更重要的是,要認真對待評估結果;如果成員國/企業未能做到這一點,可能會受到經濟處罰;
- 建立並更新關鍵運營商名單,並確保其指令符合的要求;
- 了解國家網路安全戰略;
- 了解歐盟CSIRT網路的覆蓋範圍,該網路可以監控聯網資產;
- 關注指令對資料儲存和處理軟體供應商、網路安全管理以及軟體開發商的強調;
- 識別風險並實施適當的緩解措施;
- 建立清晰的事件報告流程,並及時報告
- 與供應商合作,識別並緩解網路安全風險。
- 與供應商明確供應鏈安全預期,並定期進行合規性審核。
英國
英國高度重視網路安全,尤其是在供應鏈方面。國家網路安全中心製定了網路評估框架,其中概述了網路威脅緩解策略。該框架的雲端安全指南原則 8特別提到了供應鏈安全最佳實踐和雲端服務,這些服務特別容易受到攻擊。
這裡的建議表明,企業應該明白:
- 他們的數據如何與供應商分享以及供應商如何使用這些數據
- 客戶資料是否屬於這部分內容
- 供應商的硬體和軟體如何具備適當的安全措施
- 如何評估供應商風險
- 如何強制供應商遵守安全規定
為確保上述目標的實現,政府指南建議在使用雲端服務時採用以下幾種實施方法:
- 了解雲端服務中的分離情況,這些雲端服務可能基於第三方 IaaS 或 PaaS 產品建置。
- 在進行風險評估時,應考慮資料敏感性,尤其是在使用第三方服務時。
- 查看第三方服務如何描述資料共享關係,並確保其符合 GDPR 的規定。
預防供應鏈攻擊的最佳實踐技巧
雖然無法消除供應鏈安全威脅,但可以透過一些方法來降低風險,特別是專注於供應商。對組織而言,以下做法可能有所幫助:
- 定期對第三方供應商進行供應鏈風險評估和監控。
- 識別並緩解可能導致供應鏈攻擊的任何第三方資料外洩或洩漏。
- 為每個供應商制定風險概況,然後根據威脅等級/類型對供應商進行分組。
- 根據漏洞、資料存取權限和對業務的影響對供應商進行排名。
- 透過調查和現場訪問評估供應鏈管理。
- 識別供應商系統中的漏洞並要求其改進。
- 評估供應商提供的產品和服務的安全性。
使用值得信賴的安全和防毒程序,例如卡巴斯基混合雲端安全軟體,也應構成供應鏈的第一道防線。
相關文章:
相關產品:
