英国国家网络安全中心(NCSC)上周三发布了新的网络安全指南,以帮助组织评估其供应链的网络安全并获得信心。该建议是针对供应链攻击日益增长的趋势而提出的,并呼吁各组织与供应商合作,找出弱点,提高抵御能力。
该指南与跨市场业务弹性小组(CMORG)联合发布,CMORG支持提高金融部门的业务弹性,但该建议适用于任何部门的组织。该咨询旨在帮助中型和大型组织,评估与供应商合作的网络风险,并确保已针对与供应商合作相关的漏洞采取了缓解措施。
NCSC网络安全指南描述了典型的供应商关系,以及组织通过供应链暴露于漏洞和网络攻击的方式,并定义了帮助评估供应链网络安全方法的预期结果和关键步骤。它补充了NCSC的供应链原则(发布于2020年)。
供应链攻击可能导致影响深远且代价高昂的中断,但最新的英国政府数据显示,超过十分之一的企业审查了其直接供应商构成的风险,占13%,而更广泛的供应链比例约为7%。
NCSC负责政府网络弹性的副主任Ian McCormack表示:“供应链攻击是各机构面临的主要网络威胁,事件可能对企业和客户产生深远而持久的影响。”“随着事件的上升,组织与供应商合作识别供应链风险,并确保适当的安全措施是至关重要的。新指南将帮助企业将其付诸实践,以便他们能够评估其供应链的安全性,并确定是否在于供应商安全合作。”
英国网络部长Julia Lopez表示:“英国各种规模的组织越来越依赖一系列IT服务来运营业务,因此这些技术的安全至关重要。”
Ian McCormack表示,该网络安全指南针对的是想要建立(或改进)评估其组织供应链网络安全方法的采购专家、风险经理和网络安全专业人士。他补充说:“它可以‘从零开始’应用,也可以建立在你可能使用的任何现有风险管理技术和方法之上。”
供应链的互连和分布式性质使得很难知道供应商如何管理和维护其网络安全。近年来,由于供应链中的漏洞而导致的网络攻击数量显著增加。这些攻击可能会对受影响的组织、其供应链和客户造成破坏性、代价高昂的长期影响。
NCSC发现,资源有限的组织可能面临挑战,例如对供应链网络安全不良可能带来的风险认识或理解不足,缺乏针对供应链风险的投资,对供应链安全的可见性有限,评估供应商网络安全的工具和专业知识不足,以及不知道应该要求供应商做什么。
NCSC网络安全指南分为五个阶段,每个阶段都有关键步骤。
第一阶段,使组织能够获得有关其组织网络安全风险管理方法的知识。它有助于根据与供应商关系的性质,以及他们对组织系统和服务的访问权限,更好地了解对供应链的威胁。它还将提供对组织内现有风险偏好和流程的更多理解,实施改变以建立或改善供应链网络安全的高级支持,并建立一个团队来开发评估供应链网络安全的新方法。
第二阶段致力于开发一种评估供应链网络安全的方法,通过理解和确定组织关心的重点,并为该方法创建关键组件。为了确定组织中最需要保护的关键方面,他们必须考虑潜在的威胁、漏洞、影响和组织的风险点。网络安全指南还呼吁组织通过生成可重复的、一致的方法来评估供应商的网络安全,为其方法创建关键组件。
在第三阶段,NCSC指南致力于在新供应商的整个合同生命周期中嵌入新的安全实践,从采购和供应商选择一直到合同结束。这可能会将网络安全实践嵌入整个对供应商产品收购的过程,并由经过网络安全培训的专业人员组成的多学科团队提供支持。还将提高员工对供应链威胁的安全意识。
第四阶段将该方法整合到现有的供应商合同中。它还在续签时审查现有合同,或者在涉及关键供应商时更早进行审查。该举措可能会产生一个记录所有供应商的登记册,并根据定义的安全控制对“高优先级”供应商进行风险评估。确定存在安全不足的供应商,并商定提高其安全性的计划。
最后一个阶段是随着新问题的出现而定期完善组织方法,这将降低通过供应链将风险引入组织的可能性,同时为持续改进奠定基础。
供应链攻击一直是世界各国政府关注的问题。上个月,美国管理和预算办公室(OMB)发布了一份备忘录,重点是通过安全的软件开发实践增强软件供应链的安全性。OMB备忘录建立去年5月发布的14028号行政命令的基础上,该命令关注软件供应链的安全和完整性,强调安全软件开发环境的重要性。
在此之前,7月,新加坡网络安全局(CSA)发布了一份CII供应链计划文件,作为CSA、行业领导者、CIIOs(关键信息基础设施所有者)和供应商的蓝图,在CII供应链中构建网络安全和弹性,以应对不断变化的威胁环境和日益增长的数字化。
来源:
