企業(yè)進行大量投入以保護自己免受網(wǎng)絡風險和威脅，他們未來的生存和聲譽取決于此。然而，他們的強弱程度取決于最薄弱的環(huán)節(jié)，通常是供應鏈，這是他們的對手也非常清楚的事實。

正如英國政府《2021 年網(wǎng)絡安全漏洞調查》所強調的，“規(guī)模各異的大多數(shù)組織都沒有正式審查其直接供應商和更廣泛的供應鏈帶來的風險?！?nbsp;進一步閱讀調查發(fā)現(xiàn)，缺乏時間、信息和知識是未審查供應鏈安全風險的主要原因。當涉及網(wǎng)絡安全時，許多組織面臨的問題是一樣的。

供應鏈讓不法分子可以從一個點發(fā)起廣泛的攻擊，SolarWinds 和 Kaseya 攻擊是最近的兩個眾所周知的例子。根據(jù)總部位于倫敦的屢獲殊榮的調查機構Opinion Matters的說法，供應鏈互連性非常敏感，以至于 97% 的組織都受到供應鏈中發(fā)生的網(wǎng)絡安全事件的負面影響。

隨著公司的發(fā)展，其第三方生態(tài)系統(tǒng)也在發(fā)展，管理和減輕網(wǎng)絡風險以達到安全標準變得越來越困難。招募新供應商、評估當前的第三方風險并嘗試在整個組織內清楚地傳達安全性能是一項艱巨且必要的任務。

作為基礎，值得考慮使用第三方風險管理 (TPRM) 工具，該工具可以在面臨供應鏈風險挑戰(zhàn)時執(zhí)行三項關鍵任務。

1) 供應商驗證

無論是評估新供應商還是現(xiàn)有供應商，擁有能夠自信地保持大規(guī)模風險承受能力的工具有助于更快、更有效地做出決策。TPRM 工具提供了更好地管理風險標準和/或企業(yè)目標的能力，并通過以下方式評估供應商的安全狀況：

• 基于固有風險的供應商分級，允許優(yōu)先級更高的補救決策
• 用于補充或驗證供應商問卷回復的客觀風險數(shù)據(jù)
• 通過單一參考點大規(guī)模評估和評估供應商的集成，允許行業(yè)基準將供應商與其競爭對手進行比較，以評估安全地位。

2) 持續(xù)監(jiān)控

管理有效的第三方風險計劃需要在整個供應商生命周期中進行持續(xù)評估。風險在不斷演變，由于執(zhí)行評估的成本很高，并且難以管理與供應商的關系，因此很難識別每一個潛在風險。

TPRM 通過以下方式簡化并提供對第三方的持續(xù)可見性，簡化重新評估過程并簡化與供應商的協(xié)作：

• 實時分析以識別和補救發(fā)生的風險
• 與供應鏈合作伙伴更好地協(xié)作以進行有效的補救
• 提高對第四方（供應商供應商）生態(tài)系統(tǒng)的可見性，以提供更大的保護。

3) 有效保證

在您的供應商組合中衡量網(wǎng)絡控制的性能可能既麻煩又耗時，尤其是隨著您的計劃的改變。將您的第三方風險計劃績效傳達給利益相關者以確定和調整組織成功、競爭定位和資源分配也很重要。TPRM 通過以下方式減輕這些負擔：

• 易于溝通和理解的綜合報告
• 對違規(guī)和勒索軟件概率的有意義的見解
• 與公司價值和績效直接相關的經(jīng)過驗證的指標。

一家總部位于英國的大型技術供應商概述了其第三方參與的流程和規(guī)則。他們的出發(fā)點是合作伙伴至少持有一套正式網(wǎng)絡衛(wèi)生證書，即 CyberEssentials/ISO27001 認證，并且合同包括審核和測試條款合規(guī)性的權利，其中包括網(wǎng)絡安全狀況。 

由此可見，組織開始認真對待對供應鏈的威脅。如果可以證明安全立場和黑客威脅得到認真對待，這將在爭取新業(yè)務時提供競爭優(yōu)勢。

為了證明這一點，應考慮以下幾點：

• 在招聘員工時，一定要勤于進行背景調查和詳細篩選。內部威脅仍然是黑客的頭號樂事。
• 不要認為安全漏洞不可能發(fā)生。積極主動并了解地緣政治環(huán)境。行為者很可能有動機造成傷害或尋求訪問您的資源。
• 供應商和合作伙伴應該是眾所周知的。采取合理措施驗證供應商的安全實踐和程序。鑒于您的客戶正在審查您的業(yè)務，因此您對他們做同樣的事情是正確的；對待別人就像對待你一樣！
• 應實施穩(wěn)健的集中治理流程，并涉及所有內部安全主管。能夠通過持續(xù)審計、員工網(wǎng)絡培訓等來證明內部安全狀況，將有助于展示“言行一致”的狀態(tài)，這對獲得合同有很大幫助。

保障供應鏈安全是每個公司的責任。只有當所有實體都采取有效、協(xié)調的安全措施，確保供應鏈數(shù)據(jù)的完整性、貨物的安全和全球經(jīng)濟的安全時，供應鏈才能真正的安全。

原標題：Is There a Weak Link in Your Supply Chain?

作者：Colin Tankard

鏈接：https://www.infosecurity-magazine.com/opinions/weak-link-supply-chain/