安全領導者如何領先於不斷增長的供應鏈風險

在數字化和外包日益增加的時代，管理來自第三方供應商和業務合作伙伴的網路風險正成為全球企業的“必備品”。 根據Gartner的資料，56%的客戶(B2B和B2C)現在對與他們有業務往來的組織網路安全狀況表示關注。

在供應鏈網路風險方面，企業面臨哪些關鍵問題?以下講述了幾個趨勢以及可以採取的降低供應鏈風險的步驟。

趨勢1：供應鏈中的勒索軟體

由於勒索軟體攻擊，全球各地組織都可能經歷突然運營中斷和巨大的財務損失。勒索軟體的迅速崛起是過去兩年最重要的網路安全趨勢之一。根據Accenture報告顯示，勒索軟體和勒索攻擊同比增加了107%。勒索軟體威脅參與者通常利用已知漏洞來訪問系統。

雖然各種行業和規模的組織都受到了影響，但影響供應鏈中小型公司的勒索軟體事件在大型企業組織中引起了重大關注。在採訪的一家大型電信公司首席資訊保安官表示，在過去的20個月中，至少6家供應商經歷過勒索軟體事件。

一些大型企業逐漸意識到，儘管盡最大努力加強企業內部網路安全，但由於對供應商存在依賴，仍然會產生安全風險。

趨勢2：關鍵軟體漏洞和供應鏈

惡意行為者正在積極利用的新軟體漏洞列表不斷擴大，現在要求組織不僅要了解漏洞對其網路環境的影響，而且要了解漏洞對其更廣泛的第三方生態系統的影響。

有訊息稱，2022年6月，一個重大安全漏洞影響Atlassian Confluence在整個網路安全社群蔓延。Confluence是由澳大利亞軟體公司Atlassian開發的一個團隊協作工作平臺，一半的財富500強公司使用它來儲存廣泛的敏感資訊，包括商業秘密、專利檔案、員工個人資訊、財務資料、客戶資訊和計劃的商業決策。發現的漏洞將允許遠端攻擊者接管易受攻擊的合流版本伺服器，使它們能夠用新的管理帳戶控制伺服器並執行任意程式碼。

不幸的是，儘管存在與Confluence漏洞相關的切實風險，但並非每家公司都能及時實施緩解補丁。漏洞公佈幾周後，調查顯示，近 20萬家組織的供應鏈中仍然至少有一個潛在的易受攻擊的部分。

趨勢3：硬體漏洞與供應鏈

近年來，企業內越來越多地使用網際網路連線(IoT)裝置，這為組織帶來了巨大的好處，同時也帶來了新的不可預見的風險。這些物聯網裝置可能包含對全球企業構成風險的關鍵漏洞。

影響流行GPS跟蹤裝置的新發現的漏洞突出了在物聯網裝置方面的風險。MiCODUS MV720 GPS追蹤器是一種常見的汽車跟蹤裝置，專為消費者和公司的車隊管理和防盜保護而設計。MV720 是一款硬連線 GPS 跟蹤器，允許使用者跟蹤車輛、切斷燃料、遠端控制車輛和地理圍欄。MiCODUS裝置在全球範圍內被從政府和執法機構到財富1000強公司的組織使用。

2022年7月，研究發現影響 MV720的漏洞可能會產生災難性甚至危及生命的影響。例如，攻擊者可以利用某些漏洞來切斷整個商用或緊急車輛車隊的燃料。或者，攻擊者可以利用GPS資訊來監控並突然停止危險高速公路上的車輛。

對企業來說，制定評估物聯網裝置及其供應商的策略對於理解和降低企業風險至關重要。

企業如何提前防範風險?

企業如何調整以適應新的供應鏈風險?對於尋求降低供應鏈安全風險的企業來說，提高整個第三方生態系統的網路安全效能有三個關鍵要素。

首先，從公司層面做出應對策略，包括分配足夠的預算來應對安全風險，包括涉及這類安全供應商風險。

其次，企業應戰略性地組織有效的安全驗證，包括對整個供應鏈的 管理和運營控制。這意味著企業需要制定一個軟體供應鏈安全風險管控制度，如擁有清晰的軟體成分清單及對第三方軟體進行 安全審計等。同時利用工具評估這些安全制度的有效性。

Gartner預測，到2025年，60%的企業將使用網路安全風險作為進行第三方交易和業務參與的重要決定因素。

第三，安全和風險專業人員需要提高監控供應商網路安全狀況變化的能力。網路是一種動態風險，透過持續監控，企業才能更好地瞭解供應商的安全狀況並對變化做出反應。

來源：

https://www.accenture.com/nl-en/blogs/insights/how-security-leaders-can-stay-ahead-of-growing-supply-chain-risk