即使在供應(yīng)鏈中企業(yè)使用先進(jìn)的技術(shù)，全球供應(yīng)鏈也不斷面臨各種風(fēng)險。企業(yè)目前面臨的主要威脅之一來自網(wǎng)絡(luò)攻擊者。那么，制造商如何實施措施來降低供應(yīng)鏈風(fēng)險呢? 研發(fā)人工智能檢測虛假信息技術(shù)和產(chǎn)品的Logically公司首席運營官Joshua Skeens為此分享了自己的見解。

他表示，美國的網(wǎng)絡(luò)安全威脅持續(xù)增加，因為新冠疫情促使企業(yè)和個人將重要數(shù)據(jù)轉(zhuǎn)移到網(wǎng)上。事實上，根據(jù)美國聯(lián)邦調(diào)查局發(fā)布的一份調(diào)查報告，自從2020年新冠疫情爆發(fā)以來，美國的網(wǎng)絡(luò)犯罪數(shù)量飆升了300%。

因此，許多企業(yè)都采取了加強網(wǎng)絡(luò)安全防御的應(yīng)對措施。然而，許多企業(yè)往往忽視了一個關(guān)鍵部分：供應(yīng)鏈風(fēng)險。具體來說，黑客可以通過供應(yīng)鏈中供應(yīng)商的薄弱安全鏈接訪問企業(yè)的數(shù)據(jù)。因此，即使企業(yè)采用了各種適當(dāng)?shù)陌踩胧?，仍然可能處于風(fēng)險中。

需要風(fēng)險保護(hù)的三大供應(yīng)鏈風(fēng)險

調(diào)研機構(gòu)Gartner公司在調(diào)查中發(fā)現(xiàn)，89%的企業(yè)在過去五年中經(jīng)歷過供應(yīng)鏈風(fēng)險事件?？紤]到這些情況，為了更好地保護(hù)企業(yè)的數(shù)據(jù)和業(yè)務(wù)安全，需要了解以下關(guān)鍵的供應(yīng)鏈風(fēng)險，其中包括：

(1)數(shù)據(jù)安全

即使企業(yè)采用嚴(yán)格的安全協(xié)議，黑客也知道他們可以利用企業(yè)的供應(yīng)商訪問他們的數(shù)據(jù)。通過一些簡單的網(wǎng)上調(diào)查，網(wǎng)絡(luò)罪犯可以確定企業(yè)與哪些供應(yīng)商有關(guān)聯(lián)，并利用這些供應(yīng)商作為進(jìn)入企業(yè)的IT系統(tǒng)入口。通過這個過程，他們可以訪問企業(yè)的數(shù)據(jù)或企業(yè)與供應(yīng)商共享的任何敏感數(shù)據(jù)。

(2)技術(shù)集成

許多企業(yè)現(xiàn)在正在迅速加快其數(shù)字創(chuàng)新，通常是通過整合第三方提供的技術(shù)。每次企業(yè)在添加更多的硬件或軟件時，也增加了更多黑客和網(wǎng)絡(luò)犯罪分子可以利用的潛在入口。

(3)供應(yīng)商欺詐

正如向企業(yè)添加新的軟件和硬件會帶來風(fēng)險一樣，添加新的第三方供應(yīng)商也會帶來風(fēng)險。網(wǎng)絡(luò)罪犯使用最常見的一種作案手法與支付處理有關(guān)。每當(dāng)企業(yè)采用一個新的第三方供應(yīng)商的服務(wù)時，黑客就可能使用社交工程來說服企業(yè)改變他們的支付信息。那么結(jié)果如何?企業(yè)可能認(rèn)為是在向供應(yīng)商付款，但實際上在向黑客付款。這不僅會損害企業(yè)的安全性，還會損害業(yè)務(wù)關(guān)系。

新的供應(yīng)商的網(wǎng)絡(luò)安全問題

每當(dāng)企業(yè)考慮將與新的第三方供應(yīng)商合作時，可能會經(jīng)歷一個非常徹底的審查過程。但關(guān)于網(wǎng)絡(luò)安全緩解策略的問題在企業(yè)列出的清單上嗎?應(yīng)該是。這些問題可以幫助企業(yè)評估和評級他們對任何類型的惡意攻擊的準(zhǔn)備情況：

(1)他們運行的是什么類型的EDR或MDR?

端點檢測和響應(yīng)(EDR)是一種分層的端點保護(hù)方法。它將實時持續(xù)監(jiān)控和端點數(shù)據(jù)分析與基于規(guī)則的自動響應(yīng)結(jié)合起來。托管檢測和響應(yīng)(MDR)結(jié)合了技術(shù)和知識、人力資源，自動執(zhí)行威脅搜索任務(wù)。在理想情況下，供應(yīng)商應(yīng)該在他們的網(wǎng)絡(luò)安全工具包中包括EDR和MDR技術(shù)。

(2)他們上一次的風(fēng)險和脆弱性評估是什么時候?

在理想情況下，企業(yè)應(yīng)該每月或至少每季度對其內(nèi)部和外部系統(tǒng)進(jìn)行掃描。這些工作應(yīng)包括風(fēng)險和脆弱性評估以及滲透測試，以確保覆蓋所有可能的入口點。

(3)他們現(xiàn)在的網(wǎng)絡(luò)安全人員有多少人?

響應(yīng)能力和準(zhǔn)備程度部分取決于員工人數(shù)、管理威脅評估以及了解所在部門的網(wǎng)絡(luò)安全現(xiàn)狀。

(4)他們?nèi)绾卫枚嘁蛩厣矸蒡炞C?

多因素身份驗證(MFA)是許多企業(yè)中必不可少的安全工具，它的實現(xiàn)方式將令人難以置信地說明供應(yīng)商準(zhǔn)備如何響應(yīng)網(wǎng)絡(luò)攻擊。

他們有網(wǎng)絡(luò)安全保險嗎?這個問題的答案將使人們更好地理解他們獲得保險必須滿足的先決條件。僅此一項就可以告訴很多關(guān)于他們所在公司面臨威脅的信息。

現(xiàn)有的供應(yīng)商在網(wǎng)絡(luò)安全方面的表現(xiàn)如何?

人們可能想知道當(dāng)前的第三方供應(yīng)商在網(wǎng)絡(luò)安全方面的表現(xiàn)?？梢圆扇讉€簡單的步驟來確保他們保持高質(zhì)量的安全實踐：

·請求有關(guān)其最新風(fēng)險評估、脆弱性評估和滲透測試的信息。是什么時候開始的?結(jié)果如何?

·詢問他們最近一次對當(dāng)前網(wǎng)絡(luò)安全實踐進(jìn)行第三方審計的情況。

·當(dāng)企業(yè)與供應(yīng)商共享數(shù)據(jù)時，如果還沒有這樣做，就需要利用數(shù)據(jù)加密。這將增加從企業(yè)發(fā)送到他們的數(shù)據(jù)的安全性，這是該過程中的一個重要步驟。

當(dāng)然，沒有一種工具可以解決利用供應(yīng)商或確保企業(yè)免受黑客和網(wǎng)絡(luò)犯罪的所有問題。也就是說，這些步驟可以降低黑客攻擊或漏洞風(fēng)險。記住要提出問題，要求每年進(jìn)行網(wǎng)絡(luò)安全審計、滲透測試和漏洞評估，不要害怕持續(xù)仔細(xì)檢查每個現(xiàn)有供應(yīng)商，以確保企業(yè)的業(yè)務(wù)和供應(yīng)鏈的完整性。