在数字化和外包日益增加的时代,管理来自第三方供应商和业务合作伙伴的网络风险正成为全球企业的“必备品”。 根据Gartner的数据,56%的客户(B2B和B2C)现在对与他们有业务往来的组织网络安全状况表示关注。
在供应链网络风险方面,企业面临哪些关键问题?以下讲述了几个趋势以及可以采取的降低供应链风险的步骤。
趋势1:供应链中的勒索软件
由于勒索软件攻击,全球各地组织都可能经历突然运营中断和巨大的财务损失。勒索软件的迅速崛起是过去两年最重要的网络安全趋势之一。根据Accenture报告显示,勒索软件和勒索攻击同比增加了107%。勒索软件威胁参与者通常利用已知漏洞来访问系统。
虽然各种行业和规模的组织都受到了影响,但影响供应链中小型公司的勒索软件事件在大型企业组织中引起了重大关注。在采访的一家大型电信公司首席信息安全官表示,在过去的20个月中,至少6家供应商经历过勒索软件事件。
一些大型企业逐渐意识到,尽管尽最大努力加强企业内部网络安全,但由于对供应商存在依赖,仍然会产生安全风险。
趋势2:关键软件漏洞和供应链
恶意行为者正在积极利用的新软件漏洞列表不断扩大,现在要求组织不仅要了解漏洞对其网络环境的影响,而且要了解漏洞对其更广泛的第三方生态系统的影响。
有消息称,2022年6月,一个重大安全漏洞影响Atlassian Confluence在整个网络安全社区蔓延。Confluence是由澳大利亚软件公司Atlassian开发的一个团队协作工作平台,一半的财富500强公司使用它来存储广泛的敏感信息,包括商业秘密、专利文件、员工个人信息、财务数据、客户信息和计划的商业决策。发现的漏洞将允许远程攻击者接管易受攻击的合流版本服务器,使它们能够用新的管理帐户控制服务器并执行任意代码。
不幸的是,尽管存在与Confluence漏洞相关的切实风险,但并非每家公司都能及时实施缓解补丁。漏洞公布几周后,调查显示,近 20万家组织的供应链中仍然至少有一个潜在的易受攻击的部分。
趋势3:硬件漏洞与供应链
近年来,企业内越来越多地使用互联网连接(IoT)设备,这为组织带来了巨大的好处,同时也带来了新的不可预见的风险。这些物联网设备可能包含对全球企业构成风险的关键漏洞。
影响流行GPS跟踪设备的新发现的漏洞突出了在物联网设备方面的风险。MiCODUS MV720 GPS追踪器是一种常见的汽车跟踪设备,专为消费者和公司的车队管理和防盗保护而设计。MV720 是一款硬连线 GPS 跟踪器,允许用户跟踪车辆、切断燃料、远程控制车辆和地理围栏。MiCODUS设备在全球范围内被从政府和执法机构到财富1000强公司的组织使用。
2022年7月,研究发现影响 MV720的漏洞可能会产生灾难性甚至危及生命的影响。例如,攻击者可以利用某些漏洞来切断整个商用或紧急车辆车队的燃料。或者,攻击者可以利用GPS信息来监控并突然停止危险高速公路上的车辆。
对企业来说,制定评估物联网设备及其供应商的策略对于理解和降低企业风险至关重要。
企业如何提前防范风险?
企业如何调整以适应新的供应链风险?对于寻求降低供应链安全风险的企业来说,提高整个第三方生态系统的网络安全性能有三个关键要素。
首先,从公司层面做出应对策略,包括分配足够的预算来应对安全风险,包括涉及这类安全供应商风险。
其次,企业应战略性地组织有效的安全验证,包括对整个供应链的战术和运营控制。这意味着企业需要制定一个软件供应链安全风险管控制度,如拥有清晰的软件成分清单及对第三方软件进行安全审计等。同时利用工具评估这些安全制度的有效性。
Gartner预测,到2025年,60%的企业将使用网络安全风险作为进行第三方交易和业务参与的重要决定因素。
第三,安全和风险专业人员需要提高监控供应商网络安全状况变化的能力。网络是一种动态风险,通过持续监控,企业才能更好地了解供应商的安全状况并对变化做出反应。
来源:
