英國NCSC針對供應鏈安全釋出新的網路安全指南

英國國家網路安全中心(NCSC)上週三釋出了新的網路安全指南，以幫助組織評估其供應鏈的網路安全並獲得信心。該建議是針對供應鏈攻擊日益增長的趨勢而提出的，並呼籲各組織與供應商合作，找出弱點，提高抵禦能力。

該指南與跨市場業務彈性小組(CMORG)聯合釋出，CMORG支援提高金融部門的業務彈性，但該建議適用於任何部門的組織。該諮詢旨在幫助中型和大型組織，評估與供應商合作的網路風險，並確保已針對與供應商合作相關的漏洞採取了緩解措施。

NCSC網路安全指南描述了典型的供應商關係，以及組織透過供應鏈暴露於漏洞和網路攻擊的方式，並定義了幫助評估供應鏈網路安全方法的預期結果和關鍵步驟。它補充了NCSC的供應鏈原則(釋出於2020年)。

供應鏈攻擊可能導致影響深遠且代價高昂的中斷，但最新的英國政府資料顯示，超過十分之一的企業審查了其直接供應商構成的風險，佔13%，而更廣泛的供應鏈比例約為7%。

NCSC負責政府網路彈性的副主任Ian McCormack表示:“供應鏈攻擊是各機構面臨的主要網路威脅，事件可能對企業和客戶產生深遠而持久的影響。”“隨著事件的上升，組織與供應商合作識別供應鏈風險，並確保適當的安全措施是至關重要的。新指南將幫助企業將其付諸實踐，以便他們能夠評估其供應鏈的安全性，並確定是否在於供應商安全合作。”

英國網路部長Julia Lopez表示:“英國各種規模的組織越來越依賴一系列IT服務來運營業務，因此這些技術的安全至關重要。”

Ian McCormack表示，該網路安全指南針對的是想要建立(或改進)評估其組織供應鏈網路安全方法的採購專家、風險經理和網路安全專業人士。他補充說:“它可以‘從零開始’應用，也可以建立在你可能使用的任何現有風險管理技術和方法之上。”

供應鏈的互連和分散式性質使得很難知道供應商如何管理和維護其網路安全。近年來，由於供應鏈中的漏洞而導致的網路攻擊數量顯著增加。這些攻擊可能會對受影響的組織、其供應鏈和客戶造成破壞性、代價高昂的長期影響。

NCSC發現，資源有限的組織可能面臨挑戰，例如對供應鏈網路安全不良可能帶來的風險認識或理解不足，缺乏針對供應鏈風險的投資，對供應鏈安全的可見性有限，評估供應商網路安全的工具和專業知識不足，以及不知道應該要求供應商做什麼。

NCSC網路安全指南分為五個階段，每個階段都有關鍵步驟。

第一階段，使組織能夠獲得有關其組織網路安全風險管理方法的知識。它有助於根據與供應商關係的性質，以及他們對組織系統和服務的訪問許可權，更好地瞭解對供應鏈的威脅。它還將提供對組織內現有風險偏好和流程的更多理解，實施改變以建立或改善供應鏈網路安全的高階支援，並建立一個團隊來開發評估供應鏈網路安全的新方法。

第二階段致力於開發一種評估供應鏈網路安全的方法，透過理解和確定組織關心的重點，併為該方法建立關鍵元件。為了確定組織中最需要保護的關鍵方面，他們必須考慮潛在的威脅、漏洞、影響和組織的風險點。網路安全指南還呼籲組織透過生成可重複的、一致的方法來評估供應商的網路安全，為其方法建立關鍵元件。

在第三階段，NCSC指南致力於在新供應商的整個合同生命週期中嵌入新的安全實踐，從採購和供應商選擇一直到合同結束。這可能會將網路安全實踐嵌入整個對供應商產品收購的過程，並由經過網路安全培訓的專業人員組成的多學科團隊提供支援。還將提高員工對供應鏈威脅的安全意識。

第四階段將該方法整合到現有的供應商合同中。它還在續簽時審查現有合同，或者在涉及關鍵供應商時更早進行審查。該舉措可能會產生一個記錄所有供應商的登記冊，並根據定義的安全控制對“高優先順序”供應商進行風險評估。確定存在安全不足的供應商，並商定提高其安全性的計劃。

最後一個階段是隨著新問題的出現而定期完善組織方法，這將降低透過供應鏈將風險引入組織的可能性，同時為持續改進奠定基礎。

供應鏈攻擊一直是世界各國政府關注的問題。上個月，美國管理和預算辦公室(OMB)釋出了一份備忘錄，重點是透過安全的軟體開發實踐增強軟體供應鏈的安全性。OMB備忘錄建立去年5月釋出的14028號行政命令的基礎上，該命令關注軟體供應鏈的安全和完整性，強調安全軟體開發環境的重要性。

在此之前，7月，新加坡網路安全域性(CSA)釋出了一份CII供應鏈計劃檔案，作為CSA、行業領導者、CIIOs(關鍵資訊基礎設施所有者)和供應商的藍圖，在CII供應鏈中構建網路安全和彈性，以應對不斷變化的威脅環境和日益增長的數字化。

來源：

https://industrialcyber.co/supply-chain-security/rise-in-supply-chain-cyber-attacks-pushes-uks-ncsc-to-issue-fresh-cybersecurity-guidance/