最近，各種規(guī)模的針對工業(yè)領域的網(wǎng)絡攻擊數(shù)量在顯著增加，風險在供應鏈上不斷蔓延。ESG對中型市場和企業(yè)制造機構的150名網(wǎng)絡安全和IT專業(yè)人士進行的調查發(fā)現(xiàn)，53%的人表示他們的運營技術(OT)基礎設施容易受到某種類型的網(wǎng)絡攻擊，而同樣數(shù)量的人表示，他們在過去12-24個月內已經(jīng)遭受了網(wǎng)絡攻擊或其他安全事件，影響了他們的OT基礎設施。

制造商是貿(mào)易伙伴網(wǎng)絡的一部分，這些網(wǎng)絡相互交織，當它們受到損害時，影響會波及供應鏈中的所有各方。對一級供應商的攻擊所造成的影響可能與攻擊最初滲透到您自己的OT網(wǎng)絡一樣具有破壞性。生產(chǎn)線可能會被關閉，產(chǎn)生巨大的成本，對收入產(chǎn)生負面影響，并導致聲譽受損。

多年來，威脅行為者一直利用供應鏈中的薄弱環(huán)節(jié)，作為滲透到其他組織的踏腳石。我們都還記得近十年前的Target安全漏洞事件，攻擊者利用從暖通空調系統(tǒng)供應商處竊取的憑證進入Target的網(wǎng)絡，并橫向移動，直至最終竊取數(shù)百萬客戶的銀行卡和個人信息。幾年后，NotPetya勒索軟件是另一個備受矚目的供應鏈攻擊，它最初毒害了一家烏克蘭會計公司的軟件，后來影響到跨國公司，估計造成100億美元的損失。最近，SolarWinds Orion軟件泄露和SUNBURST后門使得威脅行為者能夠進入全球眾多組織。此次攻擊的范圍和影響仍在了解中。

行業(yè)行動

供應鏈網(wǎng)絡安全目前已成為各行業(yè)高管和安全領導者的首要考慮因素，政府機構、行業(yè)團體和監(jiān)管機構也在采取行動，努力降低風險。隨著COVID-19疫苗離現(xiàn)實越來越近，IBM發(fā)布了針對COVID-19疫苗供應鏈的未知威脅行為者的警告，強調了減少OT環(huán)境暴露的必要性、攻擊者能力的增強以及供應鏈風險的緊迫性和嚴重性。在電力行業(yè)內，"保護我們的電力 "提出了(PDF)一個端到端的網(wǎng)絡供應鏈風險管理模型框架，作為監(jiān)管機構使用的基線。新的汽車行業(yè)網(wǎng)絡安全法規(guī)(PDF)將從2024年7月起強制要求所有在歐盟生產(chǎn)的新車遵守，日本和韓國也將實施類似的規(guī)定。而新的網(wǎng)絡安全標準將在汽車的整個生命周期內建立 "網(wǎng)絡安全設計"，目前正在制定中。

安全領導者可以做什么

供應鏈網(wǎng)絡風險是復雜的，跨越產(chǎn)品的整個生命周期--跨越設計、制造、分銷、存儲和維護。生命周期越長、越復雜，威脅行為者就有更多機會通過針對供應鏈中不太安全的元素來利用產(chǎn)品。由于供應鏈通常是全球性的，并跨越多個層級的供應商，因此安全責任并不是由單一組織承擔的。每個成員都要扮演一個角色，這使得供應鏈的網(wǎng)絡風險在緩解方面特別具有挑戰(zhàn)性。

這就是為什么在制定業(yè)務連續(xù)性計劃時，高管們需要將目光投向自己公司之外，還要考慮其直屬供應商所采取的安全措施，以及他們如何反過來管理和緩解其擴展的供應商網(wǎng)絡的風險。這五個步驟可以提供幫助：供應鏈網(wǎng)絡風險很復雜，橫跨產(chǎn)品的整個生命周期--跨越設計、制造、分銷、存儲和維護。生命周期越長、越復雜，威脅行為者就越有機會通過針對鏈中不太安全的元素來利用產(chǎn)品。由于供應鏈通常是全球性的，并跨越多個層級的供應商，因此安全責任并不是由單一組織承擔的。每個成員都要扮演一個角色，這使得供應鏈的網(wǎng)絡風險在緩解方面特別具有挑戰(zhàn)性。

這就是為什么在制定業(yè)務連續(xù)性計劃時，高管們需要將目光投向自己公司之外，還要考慮其直屬供應商所采取的安全措施，以及他們如何反過來管理和緩解其擴展的供應商網(wǎng)絡的風險。這五個步驟可以提供幫助。

1. 溝通和評估。管理這一關鍵風險首先要確定采購的內部責任，并核實合作伙伴的流程安全。這就需要法律團隊的參與，此外還需要各業(yè)務單位和地域的技術和業(yè)務線領導的參與。決策者需要與供應鏈攻擊相關的威脅情報，以便對業(yè)務風險做出明智的決策。安全采購和數(shù)據(jù)保護必須包裹在與合作伙伴和內部利益相關者的有效溝通中。

2. 詳細的操作可視性?？紤]一個專門的工業(yè)網(wǎng)絡安全解決方案，能夠克服OT特有的挑戰(zhàn)，其中包括缺乏標準化技術，使用專有協(xié)議，以及對關鍵流程中斷的低容忍度。一個能夠持續(xù)監(jiān)控和檢測整個OT網(wǎng)絡威脅的平臺，連接到您組織現(xiàn)有的安全網(wǎng)絡，并且還連接到與您的供應鏈合作伙伴的所有接入點，將這種可見性擴展到所有關鍵方。

3. 一致的網(wǎng)絡安全標準。跟上新出現(xiàn)的法規(guī)和標準以及新的警報。遵循7月23日CISA警報中詳述的行業(yè)特定建議，這有助于減輕美國所有16個關鍵基礎設施部門的OT資產(chǎn)與互聯(lián)網(wǎng)日益增長的連接所驅動的網(wǎng)絡風險增加。

4. 加強網(wǎng)絡安全聯(lián)盟。鑒于當前的關鍵緊迫性，許多高管和董事會成員已經(jīng)開始關注運營問題，并更加意識到為什么擁有正確的網(wǎng)絡防御技術和流程對于確保可用性、可靠性和安全性至關重要。作為安全領導者，應抓住時機，為支持當前和未來的工業(yè)網(wǎng)絡安全計劃爭取跨職能部門的認同。

5. 協(xié)作方式。你的供應鏈是你的商業(yè)生態(tài)系統(tǒng)的一個組成部分。因此，它需要成為您的安全生態(tài)系統(tǒng)的一個組成部分，并以相同的防御水平進行保護?；谠频慕鉀Q方案簡化了與關鍵供應鏈合作伙伴的安全連接。它們也可以更安全，更容易更新，并有更快的新功能添加。但是，即使由于監(jiān)管要求，在您的行業(yè)內向云計算過渡還不可行，您仍然可以設置基準，并與您的供應鏈合作伙伴分享有關漏洞和衛(wèi)生風險的報告和見解。

那么，回到問題上來。"你的供應商的安全是你的業(yè)務嗎?" 答案是肯定的。它不僅是您的業(yè)務，而且您的業(yè)務的未來可能會受到威脅。幸運的是，您可以采取一些措施來降低風險，而且現(xiàn)在正是快速行動的好時機。