供應商的安全屬于您的業務范疇嗎
最近,各種規模的針對工業領域的網絡攻擊數量在顯著增加,風險在供應鏈上不斷蔓延。ESG對中型市場和企業制造機構的150名網絡安全和IT專業人士進行的調查發現,53%的人表示他們的運營技術(OT)基礎設施容易受到某種類型的網絡攻擊,而同樣數量的人表示,他們在過去12-24個月內已經遭受了網絡攻擊或其他安全事件,影響了他們的OT基礎設施。
制造商是貿易伙伴網絡的一部分,這些網絡相互交織,當它們受到損害時,影響會波及供應鏈中的所有各方。對一級供應商的攻擊所造成的影響可能與攻擊最初滲透到您自己的OT網絡一樣具有破壞性。生產線可能會被關閉,產生巨大的成本,對收入產生負面影響,并導致聲譽受損。
多年來,威脅行為者一直利用供應鏈中的薄弱環節,作為滲透到其他組織的踏腳石。我們都還記得近十年前的Target安全漏洞事件,攻擊者利用從暖通空調系統供應商處竊取的憑證進入Target的網絡,并橫向移動,直至最終竊取數百萬客戶的銀行卡和個人信息。幾年后,NotPetya勒索軟件是另一個備受矚目的供應鏈攻擊,它最初毒害了一家烏克蘭會計公司的軟件,后來影響到跨國公司,估計造成100億美元的損失。最近,SolarWinds Orion軟件泄露和SUNBURST后門使得威脅行為者能夠進入全球眾多組織。此次攻擊的范圍和影響仍在了解中。
行業行動
供應鏈網絡安全目前已成為各行業高管和安全領導者的首要考慮因素,政府機構、行業團體和監管機構也在采取行動,努力降低風險。隨著COVID-19疫苗離現實越來越近,IBM發布了針對COVID-19疫苗供應鏈的未知威脅行為者的警告,強調了減少OT環境暴露的必要性、攻擊者能力的增強以及供應鏈風險的緊迫性和嚴重性。在電力行業內,"保護我們的電力 "提出了(PDF)一個端到端的網絡供應鏈風險管理模型框架,作為監管機構使用的基線。新的汽車行業網絡安全法規(PDF)將從2024年7月起強制要求所有在歐盟生產的新車遵守,日本和韓國也將實施類似的規定。而新的網絡安全標準將在汽車的整個生命周期內建立 "網絡安全設計",目前正在制定中。
安全領導者可以做什么
供應鏈網絡風險是復雜的,跨越產品的整個生命周期--跨越設計、制造、分銷、存儲和維護。生命周期越長、越復雜,威脅行為者就有更多機會通過針對供應鏈中不太安全的元素來利用產品。由于供應鏈通常是全球性的,并跨越多個層級的供應商,因此安全責任并不是由單一組織承擔的。每個成員都要扮演一個角色,這使得供應鏈的網絡風險在緩解方面特別具有挑戰性。
這就是為什么在制定業務連續性計劃時,高管們需要將目光投向自己公司之外,還要考慮其直屬供應商所采取的安全措施,以及他們如何反過來管理和緩解其擴展的供應商網絡的風險。這五個步驟可以提供幫助:供應鏈網絡風險很復雜,橫跨產品的整個生命周期--跨越設計、制造、分銷、存儲和維護。生命周期越長、越復雜,威脅行為者就越有機會通過針對鏈中不太安全的元素來利用產品。由于供應鏈通常是全球性的,并跨越多個層級的供應商,因此安全責任并不是由單一組織承擔的。每個成員都要扮演一個角色,這使得供應鏈的網絡風險在緩解方面特別具有挑戰性。
這就是為什么在制定業務連續性計劃時,高管們需要將目光投向自己公司之外,還要考慮其直屬供應商所采取的安全措施,以及他們如何反過來管理和緩解其擴展的供應商網絡的風險。這五個步驟可以提供幫助。
1. 溝通和評估。管理這一關鍵風險首先要確定采購的內部責任,并核實合作伙伴的流程安全。這就需要法律團隊的參與,此外還需要各業務單位和地域的技術和業務線領導的參與。決策者需要與供應鏈攻擊相關的威脅情報,以便對業務風險做出明智的決策。安全采購和數據保護必須包裹在與合作伙伴和內部利益相關者的有效溝通中。
2. 詳細的操作可視性。考慮一個專門的工業網絡安全解決方案,能夠克服OT特有的挑戰,其中包括缺乏標準化技術,使用專有協議,以及對關鍵流程中斷的低容忍度。一個能夠持續監控和檢測整個OT網絡威脅的平臺,連接到您組織現有的安全網絡,并且還連接到與您的供應鏈合作伙伴的所有接入點,將這種可見性擴展到所有關鍵方。
3. 一致的網絡安全標準。跟上新出現的法規和標準以及新的警報。遵循7月23日CISA警報中詳述的行業特定建議,這有助于減輕美國所有16個關鍵基礎設施部門的OT資產與互聯網日益增長的連接所驅動的網絡風險增加。
4. 加強網絡安全聯盟。鑒于當前的關鍵緊迫性,許多高管和董事會成員已經開始關注運營問題,并更加意識到為什么擁有正確的網絡防御技術和流程對于確保可用性、可靠性和安全性至關重要。作為安全領導者,應抓住時機,為支持當前和未來的工業網絡安全計劃爭取跨職能部門的認同。
5. 協作方式。你的供應鏈是你的商業生態系統的一個組成部分。因此,它需要成為您的安全生態系統的一個組成部分,并以相同的防御水平進行保護。基于云的解決方案簡化了與關鍵供應鏈合作伙伴的安全連接。它們也可以更安全,更容易更新,并有更快的新功能添加。但是,即使由于監管要求,在您的行業內向云計算過渡還不可行,您仍然可以設置基準,并與您的供應鏈合作伙伴分享有關漏洞和衛生風險的報告和見解。
那么,回到問題上來。"你的供應商的安全是你的業務嗎?" 答案是肯定的。它不僅是您的業務,而且您的業務的未來可能會受到威脅。幸運的是,您可以采取一些措施來降低風險,而且現在正是快速行動的好時機。
