即使在供應(yīng)鏈中企業(yè)使用先進(jìn)的技術(shù)，全球供應(yīng)鏈也不斷面臨各種風(fēng)險(xiǎn)。企業(yè)目前面臨的主要威脅之一來自網(wǎng)絡(luò)攻擊者。那么，制造商如何實(shí)施措施來降低供應(yīng)鏈風(fēng)險(xiǎn)呢? 研發(fā)人工智能檢測(cè)虛假信息技術(shù)和產(chǎn)品的Logically公司首席運(yùn)營(yíng)官Joshua Skeens為此分享了自己的見解。

他表示，美國(guó)的網(wǎng)絡(luò)安全威脅持續(xù)增加，因?yàn)樾鹿谝咔榇偈蛊髽I(yè)和個(gè)人將重要數(shù)據(jù)轉(zhuǎn)移到網(wǎng)上。事實(shí)上，根據(jù)美國(guó)聯(lián)邦調(diào)查局發(fā)布的一份調(diào)查報(bào)告，自從2020年新冠疫情爆發(fā)以來，美國(guó)的網(wǎng)絡(luò)犯罪數(shù)量飆升了300%。

因此，許多企業(yè)都采取了加強(qiáng)網(wǎng)絡(luò)安全防御的應(yīng)對(duì)措施。然而，許多企業(yè)往往忽視了一個(gè)關(guān)鍵部分：供應(yīng)鏈風(fēng)險(xiǎn)。具體來說，黑客可以通過供應(yīng)鏈中供應(yīng)商的薄弱安全鏈接訪問企業(yè)的數(shù)據(jù)。因此，即使企業(yè)采用了各種適當(dāng)?shù)陌踩胧匀豢赡芴幱陲L(fēng)險(xiǎn)中。

需要風(fēng)險(xiǎn)保護(hù)的三大供應(yīng)鏈風(fēng)險(xiǎn)

調(diào)研機(jī)構(gòu)Gartner公司在調(diào)查中發(fā)現(xiàn)，89%的企業(yè)在過去五年中經(jīng)歷過供應(yīng)鏈風(fēng)險(xiǎn)事件。考慮到這些情況，為了更好地保護(hù)企業(yè)的數(shù)據(jù)和業(yè)務(wù)安全，需要了解以下關(guān)鍵的供應(yīng)鏈風(fēng)險(xiǎn)，其中包括：

(1)數(shù)據(jù)安全

即使企業(yè)采用嚴(yán)格的安全協(xié)議，黑客也知道他們可以利用企業(yè)的供應(yīng)商訪問他們的數(shù)據(jù)。通過一些簡(jiǎn)單的網(wǎng)上調(diào)查，網(wǎng)絡(luò)罪犯可以確定企業(yè)與哪些供應(yīng)商有關(guān)聯(lián)，并利用這些供應(yīng)商作為進(jìn)入企業(yè)的IT系統(tǒng)入口。通過這個(gè)過程，他們可以訪問企業(yè)的數(shù)據(jù)或企業(yè)與供應(yīng)商共享的任何敏感數(shù)據(jù)。

(2)技術(shù)集成

許多企業(yè)現(xiàn)在正在迅速加快其數(shù)字創(chuàng)新，通常是通過整合第三方提供的技術(shù)。每次企業(yè)在添加更多的硬件或軟件時(shí)，也增加了更多黑客和網(wǎng)絡(luò)犯罪分子可以利用的潛在入口。

(3)供應(yīng)商欺詐

正如向企業(yè)添加新的軟件和硬件會(huì)帶來風(fēng)險(xiǎn)一樣，添加新的第三方供應(yīng)商也會(huì)帶來風(fēng)險(xiǎn)。網(wǎng)絡(luò)罪犯使用最常見的一種作案手法與支付處理有關(guān)。每當(dāng)企業(yè)采用一個(gè)新的第三方供應(yīng)商的服務(wù)時(shí)，黑客就可能使用社交工程來說服企業(yè)改變他們的支付信息。那么結(jié)果如何?企業(yè)可能認(rèn)為是在向供應(yīng)商付款，但實(shí)際上在向黑客付款。這不僅會(huì)損害企業(yè)的安全性，還會(huì)損害業(yè)務(wù)關(guān)系。

新的供應(yīng)商的網(wǎng)絡(luò)安全問題

每當(dāng)企業(yè)考慮將與新的第三方供應(yīng)商合作時(shí)，可能會(huì)經(jīng)歷一個(gè)非常徹底的審查過程。但關(guān)于網(wǎng)絡(luò)安全緩解策略的問題在企業(yè)列出的清單上嗎?應(yīng)該是。這些問題可以幫助企業(yè)評(píng)估和評(píng)級(jí)他們對(duì)任何類型的惡意攻擊的準(zhǔn)備情況：

(1)他們運(yùn)行的是什么類型的EDR或MDR?

端點(diǎn)檢測(cè)和響應(yīng)(EDR)是一種分層的端點(diǎn)保護(hù)方法。它將實(shí)時(shí)持續(xù)監(jiān)控和端點(diǎn)數(shù)據(jù)分析與基于規(guī)則的自動(dòng)響應(yīng)結(jié)合起來。托管檢測(cè)和響應(yīng)(MDR)結(jié)合了技術(shù)和知識(shí)、人力資源，自動(dòng)執(zhí)行威脅搜索任務(wù)。在理想情況下，供應(yīng)商應(yīng)該在他們的網(wǎng)絡(luò)安全工具包中包括EDR和MDR技術(shù)。

(2)他們上一次的風(fēng)險(xiǎn)和脆弱性評(píng)估是什么時(shí)候?

在理想情況下，企業(yè)應(yīng)該每月或至少每季度對(duì)其內(nèi)部和外部系統(tǒng)進(jìn)行掃描。這些工作應(yīng)包括風(fēng)險(xiǎn)和脆弱性評(píng)估以及滲透測(cè)試，以確保覆蓋所有可能的入口點(diǎn)。

(3)他們現(xiàn)在的網(wǎng)絡(luò)安全人員有多少人?

響應(yīng)能力和準(zhǔn)備程度部分取決于員工人數(shù)、管理威脅評(píng)估以及了解所在部門的網(wǎng)絡(luò)安全現(xiàn)狀。

(4)他們?nèi)绾卫枚嘁蛩厣矸蒡?yàn)證?

多因素身份驗(yàn)證(MFA)是許多企業(yè)中必不可少的安全工具，它的實(shí)現(xiàn)方式將令人難以置信地說明供應(yīng)商準(zhǔn)備如何響應(yīng)網(wǎng)絡(luò)攻擊。

他們有網(wǎng)絡(luò)安全保險(xiǎn)嗎?這個(gè)問題的答案將使人們更好地理解他們獲得保險(xiǎn)必須滿足的先決條件。僅此一項(xiàng)就可以告訴很多關(guān)于他們所在公司面臨威脅的信息。

現(xiàn)有的供應(yīng)商在網(wǎng)絡(luò)安全方面的表現(xiàn)如何?

人們可能想知道當(dāng)前的第三方供應(yīng)商在網(wǎng)絡(luò)安全方面的表現(xiàn)。可以采取幾個(gè)簡(jiǎn)單的步驟來確保他們保持高質(zhì)量的安全實(shí)踐：

·請(qǐng)求有關(guān)其最新風(fēng)險(xiǎn)評(píng)估、脆弱性評(píng)估和滲透測(cè)試的信息。是什么時(shí)候開始的?結(jié)果如何?

·詢問他們最近一次對(duì)當(dāng)前網(wǎng)絡(luò)安全實(shí)踐進(jìn)行第三方審計(jì)的情況。

·當(dāng)企業(yè)與供應(yīng)商共享數(shù)據(jù)時(shí)，如果還沒有這樣做，就需要利用數(shù)據(jù)加密。這將增加從企業(yè)發(fā)送到他們的數(shù)據(jù)的安全性，這是該過程中的一個(gè)重要步驟。

當(dāng)然，沒有一種工具可以解決利用供應(yīng)商或確保企業(yè)免受黑客和網(wǎng)絡(luò)犯罪的所有問題。也就是說，這些步驟可以降低黑客攻擊或漏洞風(fēng)險(xiǎn)。記住要提出問題，要求每年進(jìn)行網(wǎng)絡(luò)安全審計(jì)、滲透測(cè)試和漏洞評(píng)估，不要害怕持續(xù)仔細(xì)檢查每個(gè)現(xiàn)有供應(yīng)商，以確保企業(yè)的業(yè)務(wù)和供應(yīng)鏈的完整性。