让您的供应链抵御网络攻击.pdf

让您的供应链抵御 网络攻击 Contents 内容摘要.3 介绍.4 为什么供应链安全很重要?.6 供应链安全计划和策略.10 人员.10 流程.11 技术.13 结论.14 资料来源.15 目录 内容摘要 1 01 内容摘要 背景 供应链的数字化转型以及物理和数字技术的交叉，使企业容易受到安全问题的影响。由于缺乏沿供应链制定的适当安全措施，以及因供应链的互连性而产生的广泛影响，网络犯罪分子越来越多地利用商业供应链中的漏洞。这会给那些未在组织中建立强有力的网络安全措施的企业带来可能的业务中断和事件。此外，由于全球化和供应链结构的复杂性，少数企业的行动对整个生态系统产生重大影响。如今，在整个供应链中提供适当的安全性比以往任何时候都更重要。安全事件可能对组织的各个方面产生负面影响，并给企业留下持久的全球性影响。目标 首席供应链官和供应链副总裁在保障供应链网络安全方面发挥着至关重要的作用。最近的多次网络攻击、业务影响和主要经验教训表明，缺乏保护、检测和应对网络事件的可见性和能力是如何导致重大商业后果。企业面临的直接监管、财务和声誉影响，可能导致短期的资产减值和长期的增长挑战。本白皮书为供应链专业人士提供了有关如何应对这些挑战的见解。它指明了启动有效的供应链安全计划的第一步，即，将网络战略与组织内的关键业务需求保持一致。介绍 02 介绍 在整合网络安全措施方面，供应链内部存在重大差距。供应链由于其全球互联性而极易受到攻击。这种复杂的场景提供了许多可供利用的载体，从而导致网络攻击。由于网络攻击的高度危险性，应在整个供应链的基础设施中建立安全性。那么，供应链安全到底是什么？供应链安全是指企业供应链中涉及的所有流程、资产和基础设施免受威胁的保护和风险管理。有一种常见的误解是，网络安全风险主要是信息技术（IT）和安全团队的责任。然而，网络安全是一项需要组织内所有人参与的合作努力。攻击可以通过数据盗窃、伪造、未经授权的访问和破坏等威胁对关键组织功能产生全公司范围的影响。这些风险可能导致组织中断、渗透、数据泄露、收入损失和公司声誉受损。根据安永20211年全球信息安全调查，67%的CISO（首席信息安全官）不相信其供应链在抵御网络威胁和从网络威胁中恢复的能力方面无懈可击。网络安全措施应在全公司范围内实施，以增强组织对威胁行为者的防御和抵御能力。供应链的任何漏洞都可能摧毁网络安全的三大支柱。这些支柱包括保密性、完整性和可用性（被称为CIA三元组）。通过泄露敏感信息、更改数据和破坏运营的可靠性，网络安全的三大支柱可能会受到损害。中断不仅会导致财务损失，还会导致声誉受损、信任受损、错过最后期限和引发客户不满。长期中断甚至可能导致相关供应链实体发生危机。67%的CISO不相信他们的供应链在 抵御网络威胁并从中恢复。资料来源：安永全球信息安全调查20211 67%介绍 3 固件攻击 敏感数据暴露 供应链的网络威胁 供应链中介的违规行为 社会工程 内部威胁 实物盗窃和入侵 未经授权访问 物联网设备 恶意软件和勒索软件 供应链所面临的挑战 针对IT供应商关键基础设施的APT（高级持续威胁）和恶意软件 具有多项持续变化的复杂监管义务 跨企业、跨产品、跨制造供应链的额外考虑范围 针对终端产品子组件的高级威胁 供应商的弹性有限，导致供应链中断 在现代供应链中，检测供应商的违规行为变得困难 为什么供应链安全很重要?03 为什么供应链安全 很重要?为什么攻击者会针对实体供应链？这种趋势背后的基本原理是巨大的回报潜力。发现和修复安全漏洞是极其困难的，它使犯罪者能够长期接触，并很有可能获得金钱回报。企业可能需要几天甚至几周的时间来解决这些安全事件的影响。这可能会导致潜在收入的重大损失和资源紧张。在整个供应链中有多个攻击的例子表明，在这种投资不足的情况下，一些公司受到了负面影响。网络犯罪分子可以在系统中发现大量漏洞，并利用它们危害公司。审查此类威胁的示例非常重要，以便供应链的利益相关者可以随时了解网络攻击可能带来的业务影响。一步加强了对网络攻击的防御。此外，根据2022年世界经济论坛3发布的全球网络安全展望，39%的组织已受到第三方网络事件的影响。这项调查显示，许多组织并未充分评估其供应链中的第三方，并且可能未被告知他们涉及事件的情况。供应链安全现状 未来12个月 未来5年 企业和第三方 根据2023年业务连续性研究所的调查2，网络攻击造成的中断是长期关注的主要问题：53.2%的受访者担心网络攻击在未来12个月内可能导致供应链中断，55.6%的受访者担心未来5年内可能导致供应链中断。这也是过去12个月中，35.7%的组织中断原因中被提及的第六大常见原因。这些对因网络攻击而扰乱供应链的担忧进 35.7%的组织称，网络攻击是造成破坏的第六大原因。资料来源：2023年业务连续性研究所调查2 35.7%预计网络攻击导致供应链中断 运营技术 随着工业4.0的到来，运营技术（OT）在供应链中的使用不断增长。工业4.0侧重于通过增加互联性来融合IT和OT资产。根据欧洲网络安全局（ENISA）4在2022年进行的一项调查，76%的组织缺乏OT供应链网络安全的专门角色和责任。这一统计数据预示了一个危险信号，迫切需要优先考虑供应链的安全性和韧性。有熟练的专业人员监控、维护和保护OT设备至关重要。ENISA4调查还表明，只有47%的组织为OT供应链网络安全分配了专属预算。在确保供应链安全方面的投资不足，使企业容易受到潜在中断和网络威胁的影响。预算分配对于确保强有力的安全措施、复原力和总体业务效力至关重要。需要注意的是，某些行业比其他行业更容易受到攻击。根据OT的IBM网络安全专家20225年的报告，制造业往往是最具针对性的。它占所有OT攻击的58%。这是一个令人震惊的数字，因为大多数在制造业中大量使用的OT设备在默认情况下没有安全保护。企业通常缺乏这些设备的适当安全措施。因此，对于供应链相关方来说，从更广泛的商业视角评估其供应链中常被忽视的风险至关重要。风险评估 此外，数据揭示了一个令人担忧的事实，即只有37%的组织积极对其供应链进行风险评估。当今供应链环境中缺乏风险评估也解释了成功供应链攻击不断上升的原因。一次成功的攻击不仅会给组织本身，也会给整个行业领域带来严重的损失和中断。预算 在供应链安全方面，同时投入资金和人员的公司有效地降低了攻击风险。投资于全面的安全措施，使组织能够发现和减少供应链任何阶段的风险，建立健全的程序和协议，并确保对安全事件做出迅速反应。确保供应链免受网络攻击还可以维护客户之间的信任，保护敏感信息并保持业务的运营连续性。因此，对供应链安全的重视是一个持续的趋势，这正在组织内获得较高的关注。越来越多的公司意识到将注意力、时间和资源放在供应链安全上的重要性和价值。在2021年Gartner对352名供应链专业人士进行的调查6中，有44%的受访者表示，他们的公司计划大幅增加（5%-10%）年度供应链网络安全支出。另有18%的受访者表示，他们的组织将显著增加（10%）开支。这表明公司已经开始采取初步措施，以确保供应链的网络安全方面。76%的组织在OT供应链网络安全方面缺乏专门的角色和责任。在所有针对操作技术（OT）的攻击中，制造业占了58%。47%的组织为OT供应链网络安全分配了单独预算。37%的组织积极开展供应链风险评估。58%为什么供应链安全很重要?76%47%显著减少（-5%至-10%）37%适度减少（-5%）维持不变 适度增加（10%）对供应链网络安全支出年度变化的预期 资料来源：2021年Gartner对352名供应链专业人士的调查6 44%影响深远的攻击 NotPetya勒索软件攻击 NotPetya网络攻击是供应链攻击中对多个组织产生重大业务影响的一个例子。NotPetya是一款针对全球组织的勒索软件。受此恶意软件影响最大的一些公司，其超过50000个端点（笔记本电脑、台式机、工作站）受到感染，造成数百万收入损失。根据白宫的一项经济估计，NotPetya勒索软件攻击给世界各地的企业造成的损失估计超过100亿美元。这次攻击导致了全公司范围的停工，并迫使企业手动运行其业务。尽管缺乏信息技术支持，公司官员仍必须在继续运营与恢复和重建网络之间找到平衡。根据受影响公司之一的网络安全运营负责人表示：“恢复运营在很大程度上依赖于人的韧性：我们在大约10天的时间里重建了我们的信息技术基础设施，期间我们尽一切可能维持正常的业务运营。”一些基于物流的公司因攻击而无法使用其运输货物终端数日。这严重影响了运营，导致制造和发货的延误、库存问题以及运营中断。由于运营与各个组织的供应链相 互连接，此事件显著影响了健康和生产等多个行业的企业。持续影响还通过财务损失、错过交付和延误造成了声誉损害。关键基础设施攻击 最近的另一次攻击表明，关键供应链基础设施容易受到网络威胁和更广泛的经济影响，美国一条大型石油管道在遭到勒索软件攻击后被迫关闭。这次攻击始于一个黑客组织窃取数据，然后获得了一家公司的网络和物理资产。该组织可能在几小时内窃取了超过100GB的数据，并可能获得了对管道关键信息技术系统和操作技术的未经授权的访问。该公司将他们的管道下线，作为防止勒索软件传播的预防措施。这导致其业务中断。这次关闭对客户造成了影响，因为汽油和航空燃料不再可用，而且这次攻击的严重性足以被视为对国家安全的威胁。该公司决定向攻击者支付赎金，并获得了解密密钥，这让该公司重新获得了对其系统的控制权。在接下来的几个月里，该公司支付了数百万赎金。虽然恢复正常运营，但经济影响巨大。总而言之，这一事件提醒我们供应链安全中的漏洞可能会对关键服务以及更广泛的经济产生影响。内部威胁和货物盗窃 内部威胁还可能通过数据和资产盗窃、知识产权泄漏等问题对组织造成有意或无意的损害。检测内部威胁也特别困难，因为个人通常有适当的访问权限。防范恶意或因疏忽而引起的内部威胁应该是安全方面的一个关键重点。在供应链系统中，物理安全是保护任何资产的第一道防御；无论是存储存货的计算机系统，监控仓库的摄像头，还是运送货物的拖车。物流合作伙伴还连接到收集、处理和共享远程信息的内部系统数据。所有这些资产都需要通过物理安全措施进行保护，因为它们为黑客提供了大量数据点，如驱动程序信息、资产位置和货物 价值，使他们很容易进行有针对性的攻击。这些数据点正在催化当前对于货物和资产盗窃增加的趋势7。根据货联网的数据8，2022年在美国和加拿大共报告了大约2000起盗窃事件，且自2021年以来，供应链风险事件增加了15%。这些事件中的23%被怀疑来自内部威胁活动，因此表明这些活动应该作为一种检查措施被监控。被盗物品和数据的财务损失是主要的担忧之一。这种库存的损失会导致运营中断、生产延迟以及寻找替代供应来源的需求。希望减少盗窃的公司应使用像GPS追踪或能检测到未授权入侵的智能集装箱等技术。内部威胁活动 盗窃贷款 劫持 源容器/拖车 车辆盗窃 员工财务盗窃 其他 资料来源：货联网7,8 2022年全球货物盗窃趋势 为什么供应链安全很重要?为什么供应链安全很重要?7 事件影响 声誉损害和监管影响 供应链安全中的关键事件可能会对声誉产生重大影响。像NotPetya勒索软件这样的安全事件可能会因客户不满意而导致品牌形象下降，失去对公司可靠性的信任，并通过媒体宣传损害品牌地位。重要的是要记住评估整个供应链中的第三方服务提供商，因为依赖具有安全风险的公司可能会对下游公司的声誉造成后果。根据Centrify的一项研究9，在安全漏洞或事件发生后，65%的客户对组织失去信任。世界经济论坛10还指出，中断可能导致工业生产在1-2年内下降4%-5%。供应链安全事件的影响可能会对声誉和信任造成毁灭性的影响；该事件的影响可能会影响全球的客户、利益相关者和其他公司。除了损害公司的形象外，事故还可能产生法律监管后果。一些公司因没有采取适当的监管措施而面临罚款、处罚和清算。必须实施适当的治理和合规规定，如数据保护、安全等方面。人员关键要点 人员是任何企业最重要的资产。供应链利益相关者应优先为参与供应链运营的所有员工提供适当的培训和认证。经过良好培训和认证的员工能够更好地处理事件和挑战，有助于打造更具韧性和安全的供应链生态系统。内部认证 供应链利益相关者还可以制定内部认证计划，以确保员工获得执行某些安全相关活动的认证。在制定内部认证计划时，供应链利益相关者应遵循行业最佳实践和参考相关的NIST和ISO行业标准。强制性培训计划 供应链利益相关者可以确保制定两个主要的网络安全培训计划：针对员工的内部培训计划和针对外包商和合作伙伴的外部培训计划。内部和外部利益相关者都应接受培训，以增强他们的安全知识，并了解其如何影响供应链。培训应包括敏感信息保护意识、权限管理、OT技术和社会工程。除了强制性培训之外，供应链利益相关者还可以设计切合实际的桌面演习，以促进事件响应的协作。这确保了所有人员都受过良好的培训，并为潜在的事件做好准备。倡导全组织的安全意识文化可以防止网络钓鱼骗局和内部威胁等漏洞。供应链安全计划和策略 8 04 供应链安全计划和策略 供应链利益相关者应实施适当的计划和战略，以确保组织的供应链是安全的。在企业中实施供应链网络安全涉及到建立一个结构化的计划，其中包括跨组织协作。在实施和设计供应链安全计划时，人们可能会认为供应链应该采用防火墙和其他先进技术来保护其运营。虽然拥有正确的软件对于供应链来说非常重要，但仅仅整合先进技术并不能保证供应链安全计划的有效性。为了进一步加强供应链安全，利益相关者可以实施人员、流程、技术（PPT）范式，将网络安全纳入供应链。PPT模型在各个领域得到了广泛的应用，在设计功能性供应链安全方案时非常适用。通过该模型，可以在整个组织中实施各种网络安全策略。人员 供应链安全的“人员”方面是指对供应链内外的内部劳动力、外部承包商和合作伙伴的管理。这包括制定培训计划、组建合适的团队以及创建内部认证计划。供应链安全计划和策略 9 针对制造环境的网络威胁保护 制造业是供应链的一个基本方面。因此，供应链利益相关者可以制定一个程序，以评估和监控内部制造环境对经批准的网络实践的使用。网络资产生命周期管理 供应链利益相关者可以在资产生命周期的整个预调试、调试、服务、维护和退役过程中对资产进行网络验证。有时，遗留系统和设备可能缺乏安全措施或缺少安全更新。因此，清晰了解资产生命周期有助于供应链利益相关者识别易受攻击的网络资产并妥善保护它们。治理和合规 供应链利益相关者实施适当的供应链安全倡议的第一步之一是遵守和调整特定行业的政策和标准，以及数据监管和保护政策。当风险或问题发生时，供应链利益相关者可以制定相应的实践政策。一些最重要的网络实践和标准：NIST 800-82 V2(OT)：工业控制系统（ICS）安全指南，该指南提供了保护工业控制系统（包括关键基础设施部门使用的工业控制系统）的指南；NIST SP 800-161R1，为有效管理与IT相关的供应链风险提供了指南；以及ISO 28000，其中概述了建立、实施、维护和持续加强供应链业务安全管理系统的所有要求。组织应遵循ISO 9001（质量管理体系）、ISO 14001（环境管理体系）、ISO 27001（信息安全管理体系）和ISO 28000（供应链安全管理体系）等标准，以实现质量标准化和维护企业声誉。根据不同的业务需求，可能需要遵守其他法规，如产品/行业法规、通用数据保护条例（GDPR）、健康与安全以及贸易合规性。这些是制定针对企业供应链的政策和标准的关键资源。通过将标准化安全控制（如ISO或NIST要求）纳入供应链，并实施法律要求的隐私和合规控制，供应链利益相关者可以增强其整体安全态势。流程 供应链安全“流程”是指导企业如何管理和应对网络安全和供应链中的网络安全活动的结构化程序、政策、协议和标准。有效的流程可以确保一致性和合规性。事件响应运行手册 在对供应链安全态势进行仔细评估和评估之后，供应链利益相关者可以在所有利益相关者的帮助下制定事件响应运行手册，以有效处理网络事件。在开发运行手册时，供应链利益相关者应确保其包括RPO（恢复点目标）、RTO（恢复时间目标）和执法干预程序。供应链安全计划和策略 10 OT和IoT漏洞管理 漏洞管理是指识别、评估和缓解供应链中潜在的漏洞和安全风险。供应链利益相关者可以对软件和硬件进行安全性和漏洞评估，根据风险状况主动解决系统过时问题，从经过安全验证的供应商处采购硬件，并根据软件物料清单（SBOM）验证已安装的软件。流程关键要点 此类攻击的主要原因是缺乏IT资产管理和漏洞管理。稳健的第三方管理、漏洞管理和信息技术资产管理将有助于减轻一些风险。供应链在很大程度上依赖于定义明确的程序和流程进行运营，这使得流程与人员和技术一样至关重要。第三方管理 在典型的供应链中，涉及许多实体，例如供应商、制造商、分销商和物流供应商。有效的第三方管理在使供应链利益相关者能够快速应对各种第三方挑战方面发挥着至关重要的作用，例如网络事件、原材料中断或自然灾害。针对第三方供应商的网络威胁保护 供应链利益相关者应制定一项计划，以评估和监控经批准的网络实践的使用以及供应商的网络纯净程度。这有助于防止影响供应商的网络威胁影响更大的供应链，例如第三方漏洞，使其能够访问另一家公司的网络。此外，供应链利益相关者可以为所有供应商建立一个安全的沟通渠道，确保在发现新的漏洞时及时通知所有各方。供应商风险分析、分层和持续监控 供应链利益相关者可以对供应商、承包商、云服务提供商和合作伙伴进行风险评估。它们还应建立第三方风险数据库，其中应包括关于第三方事件响应和业务连续性规划的信息。因此，供应链利益相关者可以实施供应链风险分级，以评估供应链内的风险，签署服务级别协议，并制定终止要求，以确保供应链的弹性。技术 供应链安全的“技术”是指供应链利益相关者可以利用它来保护供应链免受网络相关事件的影响。安全控制塔 越来越多的企业正在开发和实施供应链控制塔。根据Gartner的说法，供应链控制塔是一个将人员、流程、数据、组织和技术相结合的概念。Control Towers捕获并使用来自整个业务生态系统的实时运行数据11，以提供关键的网络安全指标。因此，供应链利益相关者可以对关键指标进行几乎实时的分析，以识别潜在的违规行为和事件。供应链架构重新设计 架构是供应链的支柱。供应链利益相关者应通过在其供应链中采用“安全设计”的概念，重新检查和重新设计其企业资源规划（ERP）以及数据架构和基础设施。“安全设计”基础设施的设计或配置过程中考虑到安全角度。通过调整这一概念，可以降低实施安全措施的业务成本。供应链中的DevSecOps DevSecOps是一种先进的方法，将供应链软件开发、运营和安全结合起来，专注于“安全设计”实践。通过持续集成和部署最新的OT、物联网设备和软件更新，并实施监控和自动化，组织可以确保整个供应链的安全性和效率得到增强。运营数据保护 数据是供应链中最重要的数字资产之一。供应链利益相关者可以通过数据治理、数据加密和数据防泄漏来实施包括对敏感销售和运营数据的数据保护在内的技术。拥有有效的数据保护，可以防止潜在的数据泄露和敏感专有数据的未经授权披露，从而更好地保护供应链。安全性测试 很多OT和IoT设备都有嵌入式系统。供应链利益相关者可能需要采取行动，以确保这些嵌入式系统是安全的。这些行动包括代码审查、静态应用程序安全测试、动态应用程序安全测试、系统测试以及确保没有后门和关键漏洞。身份访问管理（IAM）供应链利益相关者可以增强和扩展其IAM系统。这些系统有助于确保适当的个人能够在适当的时间访问适当的系统。建议实施基于角色的身份和访问管理解决方案来保护设施。这可以防止恶意或疏忽的用户进行未经授权的访问，并降低内部威胁造成损害的可能性。供应链利益相关者可以利用IAM中的单点登录（SSO）和多因素身份验证（MFA）在整个组织中集成安全性，以进一步集成针对内部威胁的安全性。云服务 云计算服务也有助于提升供应链的安全态势。云服务提供了轻松扩展计算资源的能力。当遇到分布式拒绝服务攻击时，云服务的可扩展性有助于防止关键供应链功能的停机。云服务还有助于减少操作开销，因为现场没有物理服务器。这将大大减少配置错误的可能性，进而降低安全事件的风险。云服务提供商确保云的安全，云服务的用户将需要确保云中的安全。因此，供应链利益相关者在使用云服务时可能需要确保安全措施到位。供应链中的网络安全 所有IoT/OT设备都需要稳定和安全的互联网，以实现无缝的信息交换和数据传输。供应链利益相关者可以利用先进的技术实现整个网络的实时可见性，确保供应链中的安全网络环境。技术关键要点 在US Critical基础设施攻击事件中，虚拟专用网络（VPN）配置错误、密码泄漏以及缺乏多因素身份验证共同导致了最初的攻击。有效实施技术，例如测试VPN的正确配置，有助于降低这些类型的网络风险。供应链利益相关者应进行尽职调查，以确保所实施的技术符合所有合规标准和公司要求。最后，采取上述措施等安全措施可以防止或减轻内部威胁以及数据和资产被盗的影响。11 结论 12 05 结论 安全措施的实施对于发现、保护和应对因网络问题导致的供应链中断至关重要。供应链中可能发生的网络攻击的受害者不仅会遭受财务损失，还会遭受严重的声誉损害，从而削弱供应链合作伙伴、客户和利益相关者之间的信任。这种信任的丧失会导致客户忠诚度、销售额、商业机会的下降，以及潜在的集体诉讼。为了建立一个有韧性的供应链，供应链的首席供应链官和副总裁必须制定一个包括数字供应链的人员、流程和技术方面的供应链安全计划。实施安全不是一次性的努力；它需要主动改进、持续评估和持续监测。归根结底，一个有韧性的供应链能够抵御各种挑战，包括网络威胁、犯罪、自然灾害和不可预见的事件。此外，它使公司能够实现其长期业务目标，在当今充满活力和挑战的业务环境中为持续增长、盈利能力和成功做好定位。=资料来源 13 06 资料来源 1.https:/ 2.https:/ 3.https:/www3.weforum.org/docs/WEF_Global_Cybersecurity_Outlook_2022.pdf 4.https:/www.enisa.europa.eu/publications/good-practices-for-supply-chain-cybersecurity 5.https:/ 6.https:/ 7.https:/ 8.https:/ 9.https:/ 10.https:/www.weforum.org/agenda/2022/07/supply-chain-disruptions/11.https:/