近日，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)再次更新了《網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險(xiǎn)管理》(C-SCRM)指南，提供了與供應(yīng)鏈攻擊相關(guān)的趨勢(shì)和最佳實(shí)踐，指導(dǎo)企業(yè)有效管理軟件供應(yīng)鏈風(fēng)險(xiǎn)，以及在遭受供應(yīng)鏈攻擊時(shí)該如何進(jìn)行應(yīng)急響應(yīng)。

網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)管理(C-SCRM)是識(shí)別、評(píng)估和減輕ICT產(chǎn)品和服務(wù)供應(yīng)鏈分配和互聯(lián)性相關(guān)風(fēng)險(xiǎn)的過(guò)程。C-SCRM覆蓋了ICT的整個(gè)生命周期：包括硬件、軟件和信息保障，以及傳統(tǒng)的供應(yīng)鏈管理和供應(yīng)鏈安全實(shí)踐。

目前，NIST發(fā)布了“系統(tǒng)和組織網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險(xiǎn)管理實(shí)踐”，以此響應(yīng)“改善國(guó)家網(wǎng)絡(luò)安全”的美國(guó)第14028號(hào)行政命令。

系統(tǒng)和組織網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險(xiǎn)管理實(shí)踐明確指出，本刊物的目的是為企業(yè)提供有關(guān)如何識(shí)別、評(píng)估、選擇和實(shí)施風(fēng)險(xiǎn)管理流程以及減輕企業(yè)控制措施的指導(dǎo)，以幫助管理整個(gè)供應(yīng)鏈的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)?！?/p>

修訂后的指南主要針對(duì)產(chǎn)品、軟件和服務(wù)的收購(gòu)方和最終用戶，并為不同的受眾提供建議：網(wǎng)絡(luò)安全專(zhuān)家、負(fù)責(zé)企業(yè)風(fēng)險(xiǎn)管理人員、采購(gòu)人員、信息安全/網(wǎng)絡(luò)安全/隱私、系統(tǒng)開(kāi)發(fā)/工程/實(shí)施的領(lǐng)導(dǎo)和人員等。

NIST 的Jon Boyens表示，管理供應(yīng)鏈的網(wǎng)絡(luò)安全是一項(xiàng)一直存在的需求，當(dāng)供應(yīng)鏈遭到勒索軟件攻擊時(shí)，制造商可能因缺乏重要組件而停擺，連鎖商店也可能只是因?yàn)榫S護(hù)其空調(diào)系統(tǒng)的公司得以訪問(wèn)其共享資料而爆發(fā)資料外泄事件，該指南的主要讀者群將是產(chǎn)品、軟件及服務(wù)的采購(gòu)商與終端用戶，倘若政府機(jī)關(guān)或組織尚未著手管理供應(yīng)鏈的風(fēng)險(xiǎn)問(wèn)題，那么這就是一個(gè)從零到有的完整工具。

NIST的專(zhuān)家們進(jìn)一步強(qiáng)調(diào)了現(xiàn)代產(chǎn)品和服務(wù)供應(yīng)鏈安全的重要性。畢竟，一種設(shè)備可能是在一個(gè)國(guó)家/地區(qū)設(shè)計(jì)的，但是它的組件可能在全球多個(gè)國(guó)家/地區(qū)制造，只要生產(chǎn)這些組件的公司其中一個(gè)出現(xiàn)安全事件，那么就有可能會(huì)對(duì)整個(gè)供應(yīng)鏈的產(chǎn)品和服務(wù)產(chǎn)生重大影響，大大增加了全球組織的攻擊面和受影響的連鎖性。

例如制造商可能會(huì)因?yàn)槠渲幸粋€(gè)供應(yīng)商受到勒索軟件攻擊，而導(dǎo)致關(guān)鍵制造組件的供應(yīng)中斷，或者零售連鎖店可能會(huì)因?yàn)榫S護(hù)其空調(diào)系統(tǒng)的公司可以訪問(wèn)商店的數(shù)據(jù)共享網(wǎng)站而遭遇數(shù)據(jù)泄露事件。

參考來(lái)源：https://securityaffairs.co/wordpress/131066/laws-and-regulations/nist-supply-chain-guidance.html