复杂的供应链有复杂的安全性要求,想要确保供应链的安全就要尽可能地做到这些。
左右兼顾
将供应链安全视为组织内部的事情,这是一个非常局限且危险的假设。Tripwire 的产品管理与策略副总裁 Tim Erlin 表示“当考虑保护供应链安全时,必须同时考虑上游与下游。向我们提供产品的供应商和我们作为供应商提供产品的客户都应该在供应链安全的考虑范围内”。
因为涉及到供应链的上下游,首先就要知道供应链链接了哪些组织。Erlin 表示“理想情况下,应该能够识别、处理与组织打交道的任何组织都有权访问的数据”。
关于 API 安全性的讨论有很多,大多数都集中在组织或者供应商的 API 上。同时也应该注意客户要求使用的 API 和服务,保证整个供应链的安全性。
合同优先
供应链中任何环节发生问题,产生的后果和责任都会在上下游带来很大的影响。KnowBe4 的安全意识倡导官 James McQuiggan 表示“如果第三方遭受数据泄露或攻击,双方之间的合同应该确定数据泄露以及为支持该类事件而进行的程序”。原因很简单,因为失败可能会给组织带来更大的风险和损失。
尽管合同和协议倾向于考虑已知威胁与事件,但也可以对新威胁的响应过程和程序做出安排。一些业务部门必须具有承担合同中的法规或法律责任的义务。例如,美国国防部发布的网络安全成熟度模型认证(CMMC)框架,在未来所有国防部合同中强制规定了相应条款。国防部的主承包商和分包商必须满足所有国防部合同要求的 CMMC 成熟度水平,否则会被取消竞争资格。
关键行业中,快速响应的能力尤为重要。NCC 区域总监 Jeff Roth 解释说“医疗服务提供商,从实体到商业伙伴,都在进行电子化。在快速提供病患所需数据的同时还要保证数据交付服务的安全性,这是一个具有挑战性的工作”。
了解数据
在供应链上下游保护数据很重要,但如果不知道共享哪些数据就无法进行保护。尤其是只有设备彼此交换数据,将人排除在外时。
“物联网设备通常是关键,很少有设备是孤立存在的,而物联网的互联网组件也反映了这种依赖性”,信息安全论坛的管理总监 Steve Durbin 如是说。“智能化需要多个设备协同工作,通常需要数量很多的设备作为输入”。
现在的自动化流程可能需要 IT、OT 甚至消费类设备的参与,而不同类型的设备都有不同的安全需求。了解系统之间的数据流是进行安全防护的一部分。
牢记流程
将安全问题限定在供应链技术和基础架构是很自然的,但是要记住操作流程也会对安全产生影响。Vectra 的 Morales 表示“风险通常也与操作流程有关,而不是只和代码中的缺陷或漏洞有关”。
善用审查
无论对供应链有多大的信任度,确保处理和移动数据时采取了必要的保护措施都是至关重要的。KnowBe4 的 McQuiggan 表示“组织需要对所有具有远程访问权限或提供电子产品的供应商进行审查和年检”,“信任但验证的概念包括有关产品开发生命周期的第三方网络安全政策的审查,这是了解产品漏洞的良好开始”。
Positive Technologies 的信息安全分析主管 Evgeny Gnedin 认为“对供应链攻击来说,最危险的是攻击者可能在很长一段时间内都不会被注意到,而且攻击本身也很可能会成功”。同时,Gnedin 指出多个成功的供应链攻击的示例,从针对华硕的 Rowhammer 到 NetPetya 和 Magecart 等。“通过转向供应链攻击,使犯罪分子大大扩展了受害者的范围。”
小也重要
在某些情况下,供应链中大型组织的安全虽然处理相对麻烦,但是往往能够提供资源从政策的指定到具体实施来保障安全。小公司则缺乏专业知识和相关资源。NCC 的 Roth 提出了一些具体的建议:
- 重点关注与每个特定关键供应商相关的实际风险和相应的安全管控措施。小型供应商可以掌握风险,而不会产生超出这些小型供应商承受能力的问题
- 构建安全的基础结构,减少服务提供商的攻击面
- 针对高风险和中风险的小型供应商进行重点网络安全培训
- 定期监控和反馈,进一步帮助小型供应商合规
高层意识
首先将风险机进行归类:
- 业务风险
- 操作风险
- 市场风险
- 人员风险
- 法规风险
供应链给组织带来的风险既可以是战略性的也可以是战术性的。Digital Shadows 的 Guirakhoo 表示“当组织依赖大量第三方,从而大大增加潜在攻击面,这甚至会更加困难”。所构成的风险可能是战略关系和伙伴关系的问题,使高级管理层意识到问题的严重性并将其纳入决策过程以进行响应和补救。
关注云端
“现在许多重要数据都存储在云上,这为犯罪分子提供了机会。通过攻击云端可以破坏整个供应链的安全并摧毁关键信息基础设施”。
软件和服务基本上由现有软件、服务和模块构建而成,从而依赖和嵌套的产品越来越深。Accurica 联合创始人兼首席执行官 Sachin Aggarwal 表示“许多云基础架构和 SaaS 应用都由许多组件构成,通常都包含开源产品”,“例如,Amozon Web Services 使用 Linux、Java、Kubernetes、Xen 和 KVM,这些组件具备成本优势,但会带来安全风险,组织需要关注并减轻这些风险”。
确定和审查软件供应链中每个组件的安全性以及云端的供应链安全是一项庞大的工程,但这也是确保组织供应链安全必不可少的一部分。