最近，各種規(guī)模的針對(duì)工業(yè)領(lǐng)域的網(wǎng)絡(luò)攻擊數(shù)量在顯著增加，風(fēng)險(xiǎn)在供應(yīng)鏈上不斷蔓延。ESG對(duì)中型市場(chǎng)和企業(yè)制造機(jī)構(gòu)的150名網(wǎng)絡(luò)安全和IT專業(yè)人士進(jìn)行的調(diào)查發(fā)現(xiàn)，53%的人表示他們的運(yùn)營(yíng)技術(shù)(OT)基礎(chǔ)設(shè)施容易受到某種類型的網(wǎng)絡(luò)攻擊，而同樣數(shù)量的人表示，他們?cè)谶^去12-24個(gè)月內(nèi)已經(jīng)遭受了網(wǎng)絡(luò)攻擊或其他安全事件，影響了他們的OT基礎(chǔ)設(shè)施。

制造商是貿(mào)易伙伴網(wǎng)絡(luò)的一部分，這些網(wǎng)絡(luò)相互交織，當(dāng)它們受到損害時(shí)，影響會(huì)波及供應(yīng)鏈中的所有各方。對(duì)一級(jí)供應(yīng)商的攻擊所造成的影響可能與攻擊最初滲透到您自己的OT網(wǎng)絡(luò)一樣具有破壞性。生產(chǎn)線可能會(huì)被關(guān)閉，產(chǎn)生巨大的成本，對(duì)收入產(chǎn)生負(fù)面影響，并導(dǎo)致聲譽(yù)受損。

多年來，威脅行為者一直利用供應(yīng)鏈中的薄弱環(huán)節(jié)，作為滲透到其他組織的踏腳石。我們都還記得近十年前的Target安全漏洞事件，攻擊者利用從暖通空調(diào)系統(tǒng)供應(yīng)商處竊取的憑證進(jìn)入Target的網(wǎng)絡(luò)，并橫向移動(dòng)，直至最終竊取數(shù)百萬客戶的銀行卡和個(gè)人信息。幾年后，NotPetya勒索軟件是另一個(gè)備受矚目的供應(yīng)鏈攻擊，它最初毒害了一家烏克蘭會(huì)計(jì)公司的軟件，后來影響到跨國(guó)公司，估計(jì)造成100億美元的損失。最近，SolarWinds Orion軟件泄露和SUNBURST后門使得威脅行為者能夠進(jìn)入全球眾多組織。此次攻擊的范圍和影響仍在了解中。

行業(yè)行動(dòng)

供應(yīng)鏈網(wǎng)絡(luò)安全目前已成為各行業(yè)高管和安全領(lǐng)導(dǎo)者的首要考慮因素，政府機(jī)構(gòu)、行業(yè)團(tuán)體和監(jiān)管機(jī)構(gòu)也在采取行動(dòng)，努力降低風(fēng)險(xiǎn)。隨著COVID-19疫苗離現(xiàn)實(shí)越來越近，IBM發(fā)布了針對(duì)COVID-19疫苗供應(yīng)鏈的未知威脅行為者的警告，強(qiáng)調(diào)了減少OT環(huán)境暴露的必要性、攻擊者能力的增強(qiáng)以及供應(yīng)鏈風(fēng)險(xiǎn)的緊迫性和嚴(yán)重性。在電力行業(yè)內(nèi)，"保護(hù)我們的電力 "提出了(PDF)一個(gè)端到端的網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)管理模型框架，作為監(jiān)管機(jī)構(gòu)使用的基線。新的汽車行業(yè)網(wǎng)絡(luò)安全法規(guī)(PDF)將從2024年7月起強(qiáng)制要求所有在歐盟生產(chǎn)的新車遵守，日本和韓國(guó)也將實(shí)施類似的規(guī)定。而新的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)將在汽車的整個(gè)生命周期內(nèi)建立 "網(wǎng)絡(luò)安全設(shè)計(jì)"，目前正在制定中。

安全領(lǐng)導(dǎo)者可以做什么

供應(yīng)鏈網(wǎng)絡(luò)風(fēng)險(xiǎn)是復(fù)雜的，跨越產(chǎn)品的整個(gè)生命周期--跨越設(shè)計(jì)、制造、分銷、存儲(chǔ)和維護(hù)。生命周期越長(zhǎng)、越復(fù)雜，威脅行為者就有更多機(jī)會(huì)通過針對(duì)供應(yīng)鏈中不太安全的元素來利用產(chǎn)品。由于供應(yīng)鏈通常是全球性的，并跨越多個(gè)層級(jí)的供應(yīng)商，因此安全責(zé)任并不是由單一組織承擔(dān)的。每個(gè)成員都要扮演一個(gè)角色，這使得供應(yīng)鏈的網(wǎng)絡(luò)風(fēng)險(xiǎn)在緩解方面特別具有挑戰(zhàn)性。

這就是為什么在制定業(yè)務(wù)連續(xù)性計(jì)劃時(shí)，高管們需要將目光投向自己公司之外，還要考慮其直屬供應(yīng)商所采取的安全措施，以及他們?nèi)绾畏催^來管理和緩解其擴(kuò)展的供應(yīng)商網(wǎng)絡(luò)的風(fēng)險(xiǎn)。這五個(gè)步驟可以提供幫助：供應(yīng)鏈網(wǎng)絡(luò)風(fēng)險(xiǎn)很復(fù)雜，橫跨產(chǎn)品的整個(gè)生命周期--跨越設(shè)計(jì)、制造、分銷、存儲(chǔ)和維護(hù)。生命周期越長(zhǎng)、越復(fù)雜，威脅行為者就越有機(jī)會(huì)通過針對(duì)鏈中不太安全的元素來利用產(chǎn)品。由于供應(yīng)鏈通常是全球性的，并跨越多個(gè)層級(jí)的供應(yīng)商，因此安全責(zé)任并不是由單一組織承擔(dān)的。每個(gè)成員都要扮演一個(gè)角色，這使得供應(yīng)鏈的網(wǎng)絡(luò)風(fēng)險(xiǎn)在緩解方面特別具有挑戰(zhàn)性。

這就是為什么在制定業(yè)務(wù)連續(xù)性計(jì)劃時(shí)，高管們需要將目光投向自己公司之外，還要考慮其直屬供應(yīng)商所采取的安全措施，以及他們?nèi)绾畏催^來管理和緩解其擴(kuò)展的供應(yīng)商網(wǎng)絡(luò)的風(fēng)險(xiǎn)。這五個(gè)步驟可以提供幫助。

1. 溝通和評(píng)估。管理這一關(guān)鍵風(fēng)險(xiǎn)首先要確定采購(gòu)的內(nèi)部責(zé)任，并核實(shí)合作伙伴的流程安全。這就需要法律團(tuán)隊(duì)的參與，此外還需要各業(yè)務(wù)單位和地域的技術(shù)和業(yè)務(wù)線領(lǐng)導(dǎo)的參與。決策者需要與供應(yīng)鏈攻擊相關(guān)的威脅情報(bào)，以便對(duì)業(yè)務(wù)風(fēng)險(xiǎn)做出明智的決策。安全采購(gòu)和數(shù)據(jù)保護(hù)必須包裹在與合作伙伴和內(nèi)部利益相關(guān)者的有效溝通中。

2. 詳細(xì)的操作可視性。考慮一個(gè)專門的工業(yè)網(wǎng)絡(luò)安全解決方案，能夠克服OT特有的挑戰(zhàn)，其中包括缺乏標(biāo)準(zhǔn)化技術(shù)，使用專有協(xié)議，以及對(duì)關(guān)鍵流程中斷的低容忍度。一個(gè)能夠持續(xù)監(jiān)控和檢測(cè)整個(gè)OT網(wǎng)絡(luò)威脅的平臺(tái)，連接到您組織現(xiàn)有的安全網(wǎng)絡(luò)，并且還連接到與您的供應(yīng)鏈合作伙伴的所有接入點(diǎn)，將這種可見性擴(kuò)展到所有關(guān)鍵方。

3. 一致的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。跟上新出現(xiàn)的法規(guī)和標(biāo)準(zhǔn)以及新的警報(bào)。遵循7月23日CISA警報(bào)中詳述的行業(yè)特定建議，這有助于減輕美國(guó)所有16個(gè)關(guān)鍵基礎(chǔ)設(shè)施部門的OT資產(chǎn)與互聯(lián)網(wǎng)日益增長(zhǎng)的連接所驅(qū)動(dòng)的網(wǎng)絡(luò)風(fēng)險(xiǎn)增加。

4. 加強(qiáng)網(wǎng)絡(luò)安全聯(lián)盟。鑒于當(dāng)前的關(guān)鍵緊迫性，許多高管和董事會(huì)成員已經(jīng)開始關(guān)注運(yùn)營(yíng)問題，并更加意識(shí)到為什么擁有正確的網(wǎng)絡(luò)防御技術(shù)和流程對(duì)于確保可用性、可靠性和安全性至關(guān)重要。作為安全領(lǐng)導(dǎo)者，應(yīng)抓住時(shí)機(jī)，為支持當(dāng)前和未來的工業(yè)網(wǎng)絡(luò)安全計(jì)劃爭(zhēng)取跨職能部門的認(rèn)同。

5. 協(xié)作方式。你的供應(yīng)鏈?zhǔn)悄愕纳虡I(yè)生態(tài)系統(tǒng)的一個(gè)組成部分。因此，它需要成為您的安全生態(tài)系統(tǒng)的一個(gè)組成部分，并以相同的防御水平進(jìn)行保護(hù)?；谠频慕鉀Q方案簡(jiǎn)化了與關(guān)鍵供應(yīng)鏈合作伙伴的安全連接。它們也可以更安全，更容易更新，并有更快的新功能添加。但是，即使由于監(jiān)管要求，在您的行業(yè)內(nèi)向云計(jì)算過渡還不可行，您仍然可以設(shè)置基準(zhǔn)，并與您的供應(yīng)鏈合作伙伴分享有關(guān)漏洞和衛(wèi)生風(fēng)險(xiǎn)的報(bào)告和見解。

那么，回到問題上來。"你的供應(yīng)商的安全是你的業(yè)務(wù)嗎?" 答案是肯定的。它不僅是您的業(yè)務(wù)，而且您的業(yè)務(wù)的未來可能會(huì)受到威脅。幸運(yùn)的是，您可以采取一些措施來降低風(fēng)險(xiǎn)，而且現(xiàn)在正是快速行動(dòng)的好時(shí)機(jī)。