隨著數(shù)字化轉(zhuǎn)型的不斷深入，企業(yè)越來越依賴第三方軟件、云服務(wù)和外包供應(yīng)商，數(shù)字供應(yīng)鏈的復(fù)雜性和脆弱性與日俱增。網(wǎng)絡(luò)犯罪分子正鎖定這些供應(yīng)鏈，企圖通過惡意軟件、勒索軟件和數(shù)據(jù)竊取活動(dòng)獲取非法利益。一旦供應(yīng)鏈遭到破壞，企業(yè)將面臨運(yùn)營中斷、數(shù)據(jù)泄露、財(cái)務(wù)損失和聲譽(yù)受損的巨大風(fēng)險(xiǎn)。

是時(shí)候強(qiáng)化擴(kuò)展的數(shù)字供應(yīng)鏈安全防護(hù)了。

需求與合規(guī)雙輪驅(qū)動(dòng)

數(shù)字化轉(zhuǎn)型推動(dòng)著組織對第三方軟件和服務(wù)的依賴日益增強(qiáng)，這不僅催生了更多隱蔽難測的漏洞與風(fēng)險(xiǎn)，也使數(shù)字供應(yīng)鏈變得比以往更加復(fù)雜。特別是隨著云計(jì)算的普及，企業(yè)更多地依賴基于云的服務(wù)。攻擊者非常清楚，通過破壞供應(yīng)鏈可以大幅提高攻擊的效率和盈利能力，并將攻擊的重點(diǎn)越來越多地轉(zhuǎn)移到供應(yīng)鏈上。

與此同時(shí)，各種法規(guī)對數(shù)字供應(yīng)鏈安全提出了更多、更高的要求。比如。歐盟推出了數(shù)字運(yùn)營恢復(fù)力法案(DORA)和網(wǎng)絡(luò)安全指令2(NIS2)等法規(guī)，重點(diǎn)是確保供應(yīng)鏈安全，并要求企業(yè)對其網(wǎng)絡(luò)安全實(shí)踐負(fù)責(zé)。

DORA專門針對IT服務(wù)提供商采取非常規(guī)范的方法，為金融機(jī)構(gòu)及其供應(yīng)商提供了明確的合規(guī)路徑。它強(qiáng)調(diào)了解第三方風(fēng)險(xiǎn)作為保障運(yùn)營連續(xù)性的更廣泛努力的一部分。該法規(guī)旨在提高金融行業(yè)的運(yùn)營恢復(fù)力。金融公司必須確定對其運(yùn)營構(gòu)成最大風(fēng)險(xiǎn)的系統(tǒng)和數(shù)據(jù)，并反向追溯攻擊路徑，將其擴(kuò)展到供應(yīng)鏈。

NIS2也強(qiáng)調(diào)了關(guān)鍵基礎(chǔ)設(shè)施的供應(yīng)鏈風(fēng)險(xiǎn)。其風(fēng)險(xiǎn)管理要求包括加強(qiáng)供應(yīng)鏈安全政策，盡管不如DORA具體。同樣，運(yùn)營恢復(fù)力是主要目標(biāo)，確保關(guān)鍵服務(wù)在受到攻擊時(shí)仍能持續(xù)運(yùn)行。

我國出臺(tái)的《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全審查辦法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《軟件供應(yīng)鏈安全防范指南》等法規(guī)，也對軟件供應(yīng)鏈提出了諸多要求。其中，作為我國網(wǎng)絡(luò)安全領(lǐng)域的基礎(chǔ)性法律，《網(wǎng)絡(luò)安全法》明確了網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者的安全責(zé)任，包括禁止設(shè)置惡意程序、采取補(bǔ)救措施、告知報(bào)告義務(wù)等；同時(shí)強(qiáng)調(diào)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)需進(jìn)行網(wǎng)絡(luò)安全審查，并優(yōu)先選擇安全可信的產(chǎn)品和服務(wù)。

采用基于風(fēng)險(xiǎn)的供應(yīng)鏈安全方法

從當(dāng)前安全形勢來看，所有組織都面臨供應(yīng)鏈漏洞的風(fēng)險(xiǎn)，并不存在針對供應(yīng)鏈風(fēng)險(xiǎn)的萬能解決方案。

數(shù)字供應(yīng)鏈由于其互聯(lián)系統(tǒng)、供應(yīng)商和合作伙伴而容易受到網(wǎng)絡(luò)威脅。這條鏈中任何一個(gè)環(huán)節(jié)的入侵都可能導(dǎo)致敏感數(shù)據(jù)泄露、運(yùn)營中斷，以及財(cái)務(wù)和聲譽(yù)損失。

為了解決數(shù)字供應(yīng)鏈延伸部分的安全性問題，組織應(yīng)采取全面的方法，包括風(fēng)險(xiǎn)評估和管理、供應(yīng)商評估和選擇、持續(xù)監(jiān)控和合規(guī)措施：

1. 風(fēng)險(xiǎn)評估和管理：確定并評估整個(gè)供應(yīng)鏈中潛在的風(fēng)險(xiǎn)，包括所有供應(yīng)商、合作伙伴和第三方供應(yīng)商。評估這些風(fēng)險(xiǎn)的潛在影響和可能性。
2. 供應(yīng)商評估和選擇：制定嚴(yán)格的標(biāo)準(zhǔn)來選擇供應(yīng)商和合作伙伴，重點(diǎn)關(guān)注他們的安全標(biāo)準(zhǔn)、法規(guī)合規(guī)性和安全實(shí)踐。
3. 合同義務(wù)：在合同中加入安全條款，明確定義對安全措施、數(shù)據(jù)保護(hù)、事件響應(yīng)和合規(guī)性的期望。
4. 持續(xù)監(jiān)控：使用監(jiān)控工具和流程來跟蹤供應(yīng)商績效、檢測安全事件并驗(yàn)證是否符合安全標(biāo)準(zhǔn)。持續(xù)監(jiān)控應(yīng)延伸到第三方、第四方和第n方供應(yīng)商，以提供更大的可見性并實(shí)現(xiàn)早期漏洞檢測。
5. 數(shù)據(jù)加密：對傳輸和存儲(chǔ)的敏感數(shù)據(jù)進(jìn)行加密，防止未經(jīng)授權(quán)的訪問。
6. 訪問控制：在供應(yīng)鏈內(nèi)部實(shí)施嚴(yán)格的訪問控制和最小特權(quán)原則，限制對敏感信息和系統(tǒng)的訪問。實(shí)施基于角色的訪問控制(RBAC)，根據(jù)個(gè)人角色限制訪問。采用零信任方法，持續(xù)驗(yàn)證用戶身份和訪問級別。
7. 事件響應(yīng)計(jì)劃：制定并維護(hù)全面的事件響應(yīng)計(jì)劃，其中包括針對供應(yīng)鏈內(nèi)安全入侵或中斷的具體程序。對于確認(rèn)的事件，及時(shí)向客戶提供安全事件響應(yīng)。
8. 培訓(xùn)和意識(shí)：教育員工、供應(yīng)商和合作伙伴了解網(wǎng)絡(luò)安全最佳實(shí)踐、防范網(wǎng)絡(luò)釣魚以及他們在維護(hù)供應(yīng)鏈安全方面的角色。
9. 備份和恢復(fù)：定期備份關(guān)鍵數(shù)據(jù)，并制定健全的恢復(fù)計(jì)劃，以最大程度減少事件發(fā)生時(shí)的停機(jī)時(shí)間和數(shù)據(jù)損失。
10. 合規(guī)性和審計(jì)：通過定期審計(jì)和評估供應(yīng)鏈安全實(shí)踐，確保符合相關(guān)法規(guī)和行業(yè)標(biāo)準(zhǔn)。
11. 安全政策：實(shí)施符合行業(yè)最佳實(shí)踐的安全政策，如ISO 27001、ISO 20243、SOC2和IEC 62443。這些政策應(yīng)涵蓋訪問控制、安全教育、雇員驗(yàn)證、加密、網(wǎng)絡(luò)隔離/分段、運(yùn)營安全、物理安全和供應(yīng)商管理。
12. 自動(dòng)化：自動(dòng)化供應(yīng)商入職和評估流程，節(jié)省時(shí)間并減少錯(cuò)誤。使用集中式平臺(tái)自動(dòng)收集信息和評估，確保符合監(jiān)管標(biāo)準(zhǔn)。
13. 將安全性融入產(chǎn)品/服務(wù)設(shè)計(jì)：產(chǎn)品和服務(wù)的設(shè)計(jì)應(yīng)確保數(shù)據(jù)的機(jī)密性、真實(shí)性、完整性和可用性。數(shù)據(jù)應(yīng)在整個(gè)生命周期內(nèi)受到保護(hù)，防止未經(jīng)授權(quán)訪問，并將安全性和隱私融入設(shè)計(jì)中。

組織還應(yīng)了解新興法規(guī)和框架，如我國的軟件供應(yīng)鏈安全防范指南及歐盟的DORA和NIS2等，它們強(qiáng)調(diào)供應(yīng)鏈安全性，并要求企業(yè)對其網(wǎng)絡(luò)安全做法負(fù)責(zé)。

網(wǎng)絡(luò)韌性比預(yù)防更可行

防止攻擊事件只是一個(gè)理想的狀態(tài)，但并非總是可能。像臭名昭著的SolarWinds供應(yīng)鏈攻擊那樣，惡意軟件通過已安裝的合法軟件傳播，這種情況非常難以阻止。

恢復(fù)力對于擴(kuò)展數(shù)字供應(yīng)鏈的安全至關(guān)重要，因?yàn)殡m然網(wǎng)絡(luò)安全措施可以幫助預(yù)防數(shù)據(jù)泄露和惡意活動(dòng)，但恢復(fù)力則側(cè)重于減輕攻擊的影響，并假設(shè)違規(guī)是不可避免的。擴(kuò)展供應(yīng)鏈帶來了復(fù)雜性和漏洞，使完全預(yù)防變得困難。

正如美國國家標(biāo)準(zhǔn)與技術(shù)研究院所言，現(xiàn)在問題不再僅僅是如何防止入侵，還包括如何降低攻擊者利用其獲取的信息的能力，以及如何從入侵事件中恢復(fù)。

因此，與預(yù)防相比，恢復(fù)力是一個(gè)更可行的目標(biāo)。通過了解最大的威脅所在，組織可以優(yōu)先考慮防御措施。采用像微分段等主動(dòng)違規(guī)遏制措施，可以最小化網(wǎng)絡(luò)攻擊造成的損害，并確保業(yè)務(wù)連續(xù)性。

Dearing進(jìn)一步解釋說，將環(huán)境劃分為安全區(qū)域，通過零信任實(shí)施嚴(yán)格的驗(yàn)證流程，將為攻擊者利用可信第三方訪問網(wǎng)絡(luò)設(shè)置有效障礙。這樣，已進(jìn)入系統(tǒng)的攻擊同樣無法輕易實(shí)現(xiàn)橫向移動(dòng)來訪問關(guān)鍵資產(chǎn)。這可防止威脅分子和惡意軟件在網(wǎng)絡(luò)中自由移動(dòng)，并支持DORA和NIS2所強(qiáng)調(diào)的靈活、務(wù)實(shí)的安全管理和基于風(fēng)險(xiǎn)的方法。

在當(dāng)前日益嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢下，“防反”并重“的思路已經(jīng)不僅局限于供應(yīng)鏈安全。瑞數(shù)信息CTO馬蔚彥就勒索軟件防護(hù)話題接受安全牛訪談時(shí)也提出類似觀點(diǎn)。他建議用戶在加強(qiáng)基礎(chǔ)防護(hù)能力的同時(shí)，優(yōu)先構(gòu)建反制能力，如勒索事件管理體系、系統(tǒng)備份、恢復(fù)能力、威脅檢測等，在預(yù)算允許的情況下，進(jìn)一步提升防護(hù)能力，形成完整的防護(hù)閉環(huán)，從而守住底線，減少損失。

如此可見，面對日益擴(kuò)展和復(fù)雜的數(shù)字供應(yīng)鏈，我們不能再將網(wǎng)絡(luò)安全視為一個(gè)孤立的技術(shù)問題，而是要融入到商業(yè)運(yùn)營和日常生活之中。一個(gè)供應(yīng)鏈環(huán)節(jié)的疏漏，就可能引發(fā)連鎖反應(yīng)，造成難以估量的損失。因此，供應(yīng)鏈安全需要整個(gè)生態(tài)系統(tǒng)的通力合作，積極應(yīng)對供應(yīng)鏈中的每一個(gè)薄弱環(huán)節(jié)。特別是要建立起網(wǎng)絡(luò)恢復(fù)力，以確保在不可避免的入侵發(fā)生時(shí)，能夠盡快重建防線，將損失降至最低。