SolarWinds 供應(yīng)鏈攻擊凸顯了供應(yīng)鏈對(duì)網(wǎng)絡(luò)攻擊的脆弱性。供應(yīng)鏈風(fēng)險(xiǎn)緩解已成為風(fēng)險(xiǎn)管理戰(zhàn)略和信息安全計(jì)劃的重要組成部分。為了支持這項(xiàng)工作的成功，我們列出了 2022 年您需要注意的 4 大供應(yīng)鏈安全風(fēng)險(xiǎn)。這些安全風(fēng)險(xiǎn)應(yīng)在事件響應(yīng)計(jì)劃中得到解決，以防止安全漏洞助長第三方數(shù)據(jù)泄露和供應(yīng)鏈攻擊。

2022 年四大供應(yīng)鏈安全威脅

安全威脅包括對(duì)敏感數(shù)據(jù)和數(shù)據(jù)保護(hù)的完整性產(chǎn)生負(fù)面影響的任何暴露和網(wǎng)絡(luò)威脅。2022年最流行的引發(fā)供應(yīng)鏈安全擔(dān)憂的安全管控隱患如下。

第三方供應(yīng)商風(fēng)險(xiǎn)

第三方風(fēng)險(xiǎn)通常會(huì)給您的組織帶來重大的數(shù)據(jù)安全風(fēng)險(xiǎn)。這通常是由于安全策略薄弱而導(dǎo)致的安全實(shí)踐不佳。

影響供應(yīng)鏈網(wǎng)絡(luò)安全的不幸現(xiàn)實(shí)是，您的第三方供應(yīng)商可能不像您那樣重視網(wǎng)絡(luò)安全。

數(shù)字風(fēng)險(xiǎn)

數(shù)字風(fēng)險(xiǎn)是數(shù)字化轉(zhuǎn)型不可避免的副產(chǎn)品——你添加到生態(tài)系統(tǒng)中的數(shù)字解決方案越多，網(wǎng)絡(luò)犯罪分子擁有的潛在網(wǎng)絡(luò)網(wǎng)關(guān)就越多。這些暴露可能是由軟件漏洞引起的，例如零日漏洞利用或被忽視的配置錯(cuò)誤。

如果不加以解決，數(shù)字風(fēng)險(xiǎn)可能會(huì)發(fā)展為以下供應(yīng)鏈威脅：

• 勒索軟件攻擊
• 安全漏洞
• 惡意軟件感染
• 流程中斷
• 知識(shí)產(chǎn)權(quán)盜竊
• 不遵守監(jiān)管安全標(biāo)準(zhǔn)（尤其是對(duì)醫(yī)療保健行業(yè)不利）。

供應(yīng)商欺詐

供應(yīng)商欺詐或供應(yīng)商欺詐是指自稱是已知零售商的網(wǎng)絡(luò)犯罪分子要求更改其支付流程。這些事件很難識(shí)別，因?yàn)槠墼p者通常采用先進(jìn)的社會(huì)工程技術(shù)，包括人工智能生成的語音郵件和 Deepfake 視頻記錄。

影響全球供應(yīng)鏈安全的欺詐事件不僅限于供應(yīng)商類別。越來越多的數(shù)據(jù)泄露事件是由第三方供應(yīng)商成為各種社會(huì)工程和欺詐策略的受害者造成的。

自大流行期間突然流行以來，欺詐行為仍在上升。根據(jù)聯(lián)邦貿(mào)易委員會(huì)的數(shù)據(jù)，2021 年美國人因欺詐損失超過 58 億美元，自 2020 年以來增加了 24 億美元。

2021 年排名前 5 位的欺詐類別是獎(jiǎng)品、抽獎(jiǎng)、彩票、互聯(lián)網(wǎng)服務(wù)以及企業(yè)和工作機(jī)會(huì)。

數(shù)據(jù)保護(hù)

整個(gè)供應(yīng)鏈的數(shù)據(jù)完整性是安全問題的一個(gè)重要領(lǐng)域。安全措施應(yīng)確保所有數(shù)據(jù)狀態(tài)都是安全的，包括靜止和動(dòng)態(tài)。數(shù)據(jù)加密實(shí)踐在第三方集成之間尤為重要，因?yàn)楹诳椭滥繕?biāo)的第三方供應(yīng)商可能可以訪問他們的敏感數(shù)據(jù)。

2022 年供應(yīng)鏈風(fēng)險(xiǎn)管理 5 大最佳實(shí)踐

通過實(shí)施以下最佳實(shí)踐，可以解決供應(yīng)鏈中常見的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

1. 第三方風(fēng)險(xiǎn)評(píng)估

定期的第三方風(fēng)險(xiǎn)評(píng)估計(jì)劃將在網(wǎng)絡(luò)犯罪分子利用它們之前發(fā)現(xiàn)供應(yīng)鏈安全風(fēng)險(xiǎn)。理想情況下，這些評(píng)估應(yīng)該是完全可定制的，以適應(yīng)每個(gè)供應(yīng)商的獨(dú)特風(fēng)險(xiǎn)狀況。除了可定制的風(fēng)險(xiǎn)評(píng)估外，還提供與流行的網(wǎng)絡(luò)安全框架的評(píng)估映射，以確保供應(yīng)商不斷改善其安全狀況。

2.數(shù)據(jù)加密

為了在第三方泄露的情況下降低敏感數(shù)據(jù)的價(jià)值，應(yīng)對(duì)所有形式的數(shù)據(jù)實(shí)施加密做法，尤其是在第三方集成的接口處。理想情況下應(yīng)實(shí)施高級(jí)加密標(biāo)準(zhǔn) (AES)。它被認(rèn)為是最難破解的加密類型之一，這就是政府和軍方普遍使用它的原因。

3. 攻擊面監(jiān)控

攻擊面監(jiān)控解決方案將識(shí)別第三方安全風(fēng)險(xiǎn)，增加您遭受供應(yīng)鏈攻擊的機(jī)會(huì)。攻擊面監(jiān)控解決方案可以發(fā)現(xiàn)跨第三方甚至第四方網(wǎng)絡(luò)的云解決方案的安全漏洞。

4. 事件響應(yīng)計(jì)劃

如果發(fā)生供應(yīng)鏈攻擊，您的反應(yīng)應(yīng)該有計(jì)劃和協(xié)調(diào)，而不是零星和缺乏策略。精心設(shè)計(jì)的事件響應(yīng)計(jì)劃應(yīng)該可以幫助您的安全團(tuán)隊(duì)為每個(gè)供應(yīng)鏈攻擊場(chǎng)景做好準(zhǔn)備，同時(shí)將對(duì)業(yè)務(wù)連續(xù)性的影響降至最低。

5. 滲透測(cè)試

供應(yīng)鏈攻擊絕不應(yīng)該是第一次執(zhí)行事件響應(yīng)計(jì)劃。應(yīng)對(duì)策略應(yīng)通過滲透測(cè)試進(jìn)行常規(guī)評(píng)估。滲透測(cè)試還可以發(fā)現(xiàn)安全系統(tǒng)忽略的高級(jí)供應(yīng)鏈安全威脅。