隨著數(shù)字化轉(zhuǎn)型的不斷深入，企業(yè)越來越依賴第三方軟件、云服務(wù)和外包供應(yīng)商，數(shù)字供應(yīng)鏈的復(fù)雜性和脆弱性與日俱增。網(wǎng)絡(luò)犯罪分子正鎖定這些供應(yīng)鏈，企圖通過惡意軟件、勒索軟件和數(shù)據(jù)竊取活動獲取非法利益。一旦供應(yīng)鏈遭到破壞，企業(yè)將面臨運營中斷、數(shù)據(jù)泄露、財務(wù)損失和聲譽受損的巨大風(fēng)險。

是時候強化擴展的數(shù)字供應(yīng)鏈安全防護了。

需求與合規(guī)雙輪驅(qū)動

數(shù)字化轉(zhuǎn)型推動著組織對第三方軟件和服務(wù)的依賴日益增強，這不僅催生了更多隱蔽難測的漏洞與風(fēng)險，也使數(shù)字供應(yīng)鏈變得比以往更加復(fù)雜。特別是隨著云計算的普及，企業(yè)更多地依賴基于云的服務(wù)。攻擊者非常清楚，通過破壞供應(yīng)鏈可以大幅提高攻擊的效率和盈利能力，并將攻擊的重點越來越多地轉(zhuǎn)移到供應(yīng)鏈上。

與此同時，各種法規(guī)對數(shù)字供應(yīng)鏈安全提出了更多、更高的要求。比如。歐盟推出了數(shù)字運營恢復(fù)力法案(DORA)和網(wǎng)絡(luò)安全指令2(NIS2)等法規(guī)，重點是確保供應(yīng)鏈安全，并要求企業(yè)對其網(wǎng)絡(luò)安全實踐負責(zé)。

DORA專門針對IT服務(wù)提供商采取非常規(guī)范的方法，為金融機構(gòu)及其供應(yīng)商提供了明確的合規(guī)路徑。它強調(diào)了解第三方風(fēng)險作為保障運營連續(xù)性的更廣泛努力的一部分。該法規(guī)旨在提高金融行業(yè)的運營恢復(fù)力。金融公司必須確定對其運營構(gòu)成最大風(fēng)險的系統(tǒng)和數(shù)據(jù)，并反向追溯攻擊路徑，將其擴展到供應(yīng)鏈。

NIS2也強調(diào)了關(guān)鍵基礎(chǔ)設(shè)施的供應(yīng)鏈風(fēng)險。其風(fēng)險管理要求包括加強供應(yīng)鏈安全政策，盡管不如DORA具體。同樣，運營恢復(fù)力是主要目標，確保關(guān)鍵服務(wù)在受到攻擊時仍能持續(xù)運行。

我國出臺的《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全審查辦法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》《軟件供應(yīng)鏈安全防范指南》等法規(guī)，也對軟件供應(yīng)鏈提出了諸多要求。其中，作為我國網(wǎng)絡(luò)安全領(lǐng)域的基礎(chǔ)性法律，《網(wǎng)絡(luò)安全法》明確了網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者的安全責(zé)任，包括禁止設(shè)置惡意程序、采取補救措施、告知報告義務(wù)等；同時強調(diào)關(guān)鍵信息基礎(chǔ)設(shè)施運營者在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時需進行網(wǎng)絡(luò)安全審查，并優(yōu)先選擇安全可信的產(chǎn)品和服務(wù)。

采用基于風(fēng)險的供應(yīng)鏈安全方法

從當(dāng)前安全形勢來看，所有組織都面臨供應(yīng)鏈漏洞的風(fēng)險，并不存在針對供應(yīng)鏈風(fēng)險的萬能解決方案。

數(shù)字供應(yīng)鏈由于其互聯(lián)系統(tǒng)、供應(yīng)商和合作伙伴而容易受到網(wǎng)絡(luò)威脅。這條鏈中任何一個環(huán)節(jié)的入侵都可能導(dǎo)致敏感數(shù)據(jù)泄露、運營中斷，以及財務(wù)和聲譽損失。

為了解決數(shù)字供應(yīng)鏈延伸部分的安全性問題，組織應(yīng)采取全面的方法，包括風(fēng)險評估和管理、供應(yīng)商評估和選擇、持續(xù)監(jiān)控和合規(guī)措施：

1. 風(fēng)險評估和管理：確定并評估整個供應(yīng)鏈中潛在的風(fēng)險，包括所有供應(yīng)商、合作伙伴和第三方供應(yīng)商。評估這些風(fēng)險的潛在影響和可能性。
2. 供應(yīng)商評估和選擇：制定嚴格的標準來選擇供應(yīng)商和合作伙伴，重點關(guān)注他們的安全標準、法規(guī)合規(guī)性和安全實踐。
3. 合同義務(wù)：在合同中加入安全條款，明確定義對安全措施、數(shù)據(jù)保護、事件響應(yīng)和合規(guī)性的期望。
4. 持續(xù)監(jiān)控：使用監(jiān)控工具和流程來跟蹤供應(yīng)商績效、檢測安全事件并驗證是否符合安全標準。持續(xù)監(jiān)控應(yīng)延伸到第三方、第四方和第n方供應(yīng)商，以提供更大的可見性并實現(xiàn)早期漏洞檢測。
5. 數(shù)據(jù)加密：對傳輸和存儲的敏感數(shù)據(jù)進行加密，防止未經(jīng)授權(quán)的訪問。
6. 訪問控制：在供應(yīng)鏈內(nèi)部實施嚴格的訪問控制和最小特權(quán)原則，限制對敏感信息和系統(tǒng)的訪問。實施基于角色的訪問控制(RBAC)，根據(jù)個人角色限制訪問。采用零信任方法，持續(xù)驗證用戶身份和訪問級別。
7. 事件響應(yīng)計劃：制定并維護全面的事件響應(yīng)計劃，其中包括針對供應(yīng)鏈內(nèi)安全入侵或中斷的具體程序。對于確認的事件，及時向客戶提供安全事件響應(yīng)。
8. 培訓(xùn)和意識：教育員工、供應(yīng)商和合作伙伴了解網(wǎng)絡(luò)安全最佳實踐、防范網(wǎng)絡(luò)釣魚以及他們在維護供應(yīng)鏈安全方面的角色。
9. 備份和恢復(fù)：定期備份關(guān)鍵數(shù)據(jù)，并制定健全的恢復(fù)計劃，以最大程度減少事件發(fā)生時的停機時間和數(shù)據(jù)損失。
10. 合規(guī)性和審計：通過定期審計和評估供應(yīng)鏈安全實踐，確保符合相關(guān)法規(guī)和行業(yè)標準。
11. 安全政策：實施符合行業(yè)最佳實踐的安全政策，如ISO 27001、ISO 20243、SOC2和IEC 62443。這些政策應(yīng)涵蓋訪問控制、安全教育、雇員驗證、加密、網(wǎng)絡(luò)隔離/分段、運營安全、物理安全和供應(yīng)商管理。
12. 自動化：自動化供應(yīng)商入職和評估流程，節(jié)省時間并減少錯誤。使用集中式平臺自動收集信息和評估，確保符合監(jiān)管標準。
13. 將安全性融入產(chǎn)品/服務(wù)設(shè)計：產(chǎn)品和服務(wù)的設(shè)計應(yīng)確保數(shù)據(jù)的機密性、真實性、完整性和可用性。數(shù)據(jù)應(yīng)在整個生命周期內(nèi)受到保護，防止未經(jīng)授權(quán)訪問，并將安全性和隱私融入設(shè)計中。

組織還應(yīng)了解新興法規(guī)和框架，如我國的軟件供應(yīng)鏈安全防范指南及歐盟的DORA和NIS2等，它們強調(diào)供應(yīng)鏈安全性，并要求企業(yè)對其網(wǎng)絡(luò)安全做法負責(zé)。

網(wǎng)絡(luò)韌性比預(yù)防更可行

防止攻擊事件只是一個理想的狀態(tài)，但并非總是可能。像臭名昭著的SolarWinds供應(yīng)鏈攻擊那樣，惡意軟件通過已安裝的合法軟件傳播，這種情況非常難以阻止。

恢復(fù)力對于擴展數(shù)字供應(yīng)鏈的安全至關(guān)重要，因為雖然網(wǎng)絡(luò)安全措施可以幫助預(yù)防數(shù)據(jù)泄露和惡意活動，但恢復(fù)力則側(cè)重于減輕攻擊的影響，并假設(shè)違規(guī)是不可避免的。擴展供應(yīng)鏈帶來了復(fù)雜性和漏洞，使完全預(yù)防變得困難。

正如美國國家標準與技術(shù)研究院所言，現(xiàn)在問題不再僅僅是如何防止入侵，還包括如何降低攻擊者利用其獲取的信息的能力，以及如何從入侵事件中恢復(fù)。

因此，與預(yù)防相比，恢復(fù)力是一個更可行的目標。通過了解最大的威脅所在，組織可以優(yōu)先考慮防御措施。采用像微分段等主動違規(guī)遏制措施，可以最小化網(wǎng)絡(luò)攻擊造成的損害，并確保業(yè)務(wù)連續(xù)性。

Dearing進一步解釋說，將環(huán)境劃分為安全區(qū)域，通過零信任實施嚴格的驗證流程，將為攻擊者利用可信第三方訪問網(wǎng)絡(luò)設(shè)置有效障礙。這樣，已進入系統(tǒng)的攻擊同樣無法輕易實現(xiàn)橫向移動來訪問關(guān)鍵資產(chǎn)。這可防止威脅分子和惡意軟件在網(wǎng)絡(luò)中自由移動，并支持DORA和NIS2所強調(diào)的靈活、務(wù)實的安全管理和基于風(fēng)險的方法。

在當(dāng)前日益嚴峻的網(wǎng)絡(luò)安全態(tài)勢下，“防反”并重“的思路已經(jīng)不僅局限于供應(yīng)鏈安全。瑞數(shù)信息CTO馬蔚彥就勒索軟件防護話題接受安全牛訪談時也提出類似觀點。他建議用戶在加強基礎(chǔ)防護能力的同時，優(yōu)先構(gòu)建反制能力，如勒索事件管理體系、系統(tǒng)備份、恢復(fù)能力、威脅檢測等，在預(yù)算允許的情況下，進一步提升防護能力，形成完整的防護閉環(huán)，從而守住底線，減少損失。

如此可見，面對日益擴展和復(fù)雜的數(shù)字供應(yīng)鏈，我們不能再將網(wǎng)絡(luò)安全視為一個孤立的技術(shù)問題，而是要融入到商業(yè)運營和日常生活之中。一個供應(yīng)鏈環(huán)節(jié)的疏漏，就可能引發(fā)連鎖反應(yīng)，造成難以估量的損失。因此，供應(yīng)鏈安全需要整個生態(tài)系統(tǒng)的通力合作，積極應(yīng)對供應(yīng)鏈中的每一個薄弱環(huán)節(jié)。特別是要建立起網(wǎng)絡(luò)恢復(fù)力，以確保在不可避免的入侵發(fā)生時，能夠盡快重建防線，將損失降至最低。