切莫让供应链成为网络中最薄弱的环节

作者:   深圳市网安计算机安全检测技术有限公司 2019/03/20 09:48:19 214次阅读 国际
文章来源:http://netsecurity.51cto.com/art/201903/593554.htm

近年来,中国供应链市场发展迅速,并呈现出巨大潜力。据前瞻产业研究院《2016-2020年中国供应链管理服务行业市场前瞻与商业模式分析报告》显示,2015年,中国物流及供应链相关总支出约14815亿美元,其中物流及供应链成本占GDP的比重为15%。同时,70%的物流及供应链外包服务提供商年均业务增幅高于20%。

另一方面,随着中国供应链市场的繁荣发展,第三方供应商持续遭到网络攻击威胁,致使企业安全网络环境受到破坏。究其原因,是企业无法对供应链伙伴所使用的安全措施实现持续控制,无法预知潜在威胁,也缺少足够的资源来实施高规格安全管理,这就使得供应链发展成为网络中最薄弱的环节。网络攻击者会优先渗透进供应链合作方,然后再寻找机会攻击企业。Palo Alto Networks(派拓网络)认为,企业及其合作伙伴需要充分认识这一风险,并采取行动相互保护。

切莫让供应链成为网络中最薄弱的环节

Palo Alto Networks(派拓网络)大中华区总裁陈文俊

软件供应链攻击往往是毁灭性的,因为它破坏了软件供应商与消费者之间的最基本信任。攻击者通常会避开传统网络防御系统,对软件及其交付流程发起攻击,从而借助一次攻击破坏多个系统。使用这些受损软件的企业可能被勒索软件攻击劫持,丢失宝贵的专利信息并遭受商业损失。

企业之间的连接性日益紧密,这种连接性在为企业带来商业利益的同时,也带来了安全风险。网络犯罪分子非常了解这些连接,并会利用它们访问那些保护不佳的网络,供应链中涉及的企业之所以被攻击者锁定,是因为他们通常无法预知潜在威胁,也缺少足够的资源来实施高规格安全管理。网络攻击者会优先选择小型企业,在系统潜伏多年后攻击企业薄弱点。

在当今物联网,数字贸易关系,以及机器人流程自动化领域,可形成破坏的网络漏洞大幅增加。企业虽已经准备好相应安全工具并已采取相应防护措施,但仍需咨询供应商,以及供应商的供应商,进而确保整个供应链里的各家厂商都采用统一的保护等级。

有鉴于此,全球网络安全领导企业Palo Alto Networks(派拓网络)推荐以下三种方法来确保供应链安全无虞,包括:

1. 审查内部和外部安全流程:企业应审查内部以及供应商和合作伙伴的基础设施架构。虽然企业内部系统可能采取了强大的安全措施来阻截各种直接攻击,但第三方合作伙伴却不一定遵循相同的严格标准。因此,企业在将供应商完全整合至内部基础架构之前,需优先实施供应商审查计划。

2. 制定书面安全指南和控制措施:网络犯罪分子可以使用供应商的网站来托管恶意软件。因此,无论供应商是否有高级网络安全技术资源,企业都应尽量要求他们遵循相关流程和协议,以便最大限度地降低产生此类攻击漏洞的可能性。企业可在书面协议中要求供应商及时通告其内部所有安全事件,并定期提交安全报告以确定其网络安全状态。

3. 对员工和供应商进行最佳安全实践培训/分享:技术至关重要,但人为失误仍然是造成当前数据泄露的头号原因。IBM最新《网络安全情报索引》显示95%的安全事件都是人为失误造成,从点击链接、钓鱼邮件到浏览不良网站等不同来源感染病毒,进而成为其他高级持续性威胁(APT)的攻击对象。

企业必须对所有员工进行最佳安全实践培训,以帮助他们更好地识别潜在攻击。此外,安全培训项目应持续更新内容,从而将这些雇员打造成为防范此类安全事件的第一道坚固防线。

最后,在保护公司知识产权和客户信息方面,企业必须重视供应链带来的风险。网络犯罪分子会对企业网络安全进行地毯式扫描,一旦发现漏洞便发起攻击。作为企业必须填补好每个漏洞,包括供应链所有环节。

备注1:报告内容来自文章《中国供应链管理专题市场调研分析》

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室