由于地緣政治緊張，全球供應(yīng)鏈正在遭受打擊，更不用說(shuō)全球持續(xù)蔓延的新冠疫情了。但供應(yīng)鏈上還有一個(gè)問(wèn)題仍然存在，它將比企業(yè)目前面臨的兩次中斷更持久：供應(yīng)鏈安全問(wèn)題。

英國(guó)標(biāo)準(zhǔn)組織BSI一項(xiàng)為期10年的研究表明，全球供應(yīng)鏈每周發(fā)生3.1起安全攻擊事件。這種風(fēng)險(xiǎn)大部分來(lái)自IT安全問(wèn)題。

威脅檢測(cè)平臺(tái)BlueHexagon公司首席技術(shù)官SaumitraDas表示：“供應(yīng)鏈?zhǔn)荌T安全的薄弱環(huán)節(jié)，因?yàn)槠髽I(yè)不能總是控制供應(yīng)鏈合作伙伴采取的安全措施?！?

供應(yīng)鏈在很多方面都很脆弱;供應(yīng)鏈操作的復(fù)雜性擴(kuò)展到供應(yīng)鏈可能受到數(shù)字攻擊的各種方式。但對(duì)于當(dāng)今的全球企業(yè)來(lái)說(shuō)，有幾個(gè)領(lǐng)域尤其脆弱。

API的祝福和詛咒

全球商業(yè)的推動(dòng)者之一是供應(yīng)鏈上各種計(jì)算系統(tǒng)之間的互連。從歷史上看，由于世界各地使用的各種系統(tǒng)、流程和標(biāo)準(zhǔn)，這一直是一個(gè)棘手而不完整的集成。

云計(jì)算特別是應(yīng)用程序編程接口(API)，極大地改善了這種情況，幫助企業(yè)通過(guò)API共享數(shù)據(jù)，而不必將其系統(tǒng)完全連接到更大的生態(tài)系統(tǒng)。

API是一個(gè)誘人的攻擊目標(biāo)，然而，API編碼和方法中的缺陷可能會(huì)暴露數(shù)據(jù)。

Das指出，“許多供應(yīng)鏈供應(yīng)商都有通過(guò)API連接到組織的系統(tǒng)?！备鶕?jù)Gartner公司的預(yù)測(cè)，到2022年，API濫用將成為導(dǎo)致數(shù)據(jù)泄露的最常見(jiàn)的Web應(yīng)用程序攻擊類(lèi)型。

利基托管服務(wù)提供商：供應(yīng)鏈中的薄弱環(huán)節(jié)

許多擁有全球供應(yīng)鏈的行業(yè)都有托管服務(wù)提供商，這些托管服務(wù)提供商提供的技術(shù)服務(wù)對(duì)他們所服務(wù)的行業(yè)來(lái)說(shuō)是利基的。雖然這些托管服務(wù)提供商通過(guò)提供數(shù)字工具和服務(wù)為所服務(wù)的行業(yè)發(fā)揮著寶貴的作用，但他們通常是規(guī)模較小的組織，沒(méi)有深入安全實(shí)踐的資源。

與許多小型企業(yè)一樣，這些行業(yè)托管服務(wù)提供商的安全性通常比它們所服務(wù)的大型組織要弱。問(wèn)題在于，在全球供應(yīng)鏈中，這些托管服務(wù)提供商成為了薄弱環(huán)節(jié)。

企業(yè)安全機(jī)構(gòu)FireEyeMendiant公司的咨詢(xún)經(jīng)理ChrisLinklater表示：“許多此類(lèi)提供商都是小企業(yè)，沒(méi)有適當(dāng)保護(hù)客戶(hù)數(shù)據(jù)的資源或經(jīng)驗(yàn)?！白罱袔讉€(gè)托管服務(wù)提供商成為勒索軟件的受害者的例子，這使他們客戶(hù)的業(yè)務(wù)運(yùn)營(yíng)陷入癱瘓。”

工業(yè)軟件：專(zhuān)業(yè)化是有代價(jià)的

同樣的問(wèn)題也會(huì)影響到供應(yīng)鏈中經(jīng)常使用的較小的第三方軟件。大型企業(yè)軟件供應(yīng)商，如SAP和Oracle，在安全技術(shù)和最佳實(shí)踐方面投入了大量資金，一般來(lái)說(shuō)，他們和市場(chǎng)上的任何軟件一樣安全。不過(guò)，小型供應(yīng)商的行業(yè)軟件沒(méi)有提供相同級(jí)別的安全。

由于全球企業(yè)在整個(gè)供應(yīng)鏈上都依賴(lài)合作伙伴，使用小型第三方供應(yīng)商開(kāi)發(fā)的不太安全的軟件的情況甚至不會(huì)立即顯現(xiàn)出來(lái)。但它仍對(duì)企業(yè)及其運(yùn)營(yíng)構(gòu)成風(fēng)險(xiǎn)。

Linklater說(shuō):“雖然大型軟件供應(yīng)商有資源來(lái)確保他們的產(chǎn)品經(jīng)過(guò)嚴(yán)格的安全測(cè)試，但許多小型軟件供應(yīng)商沒(méi)有這種奢侈。有許多中小型軟件產(chǎn)品存在未修補(bǔ)的漏洞，或被威脅行為者利用向受害組織傳遞惡意代碼的例子?！?

物聯(lián)網(wǎng)設(shè)備：一個(gè)等待發(fā)生的安全問(wèn)題

互聯(lián)網(wǎng)設(shè)備的使用，統(tǒng)稱(chēng)為物聯(lián)網(wǎng)(IoT)，近年來(lái)呈爆炸式增長(zhǎng)。根據(jù)高德納的研究，2019年，企業(yè)對(duì)物聯(lián)網(wǎng)的采用增長(zhǎng)了21.5%，該領(lǐng)域的物聯(lián)網(wǎng)設(shè)備總數(shù)達(dá)到48億臺(tái)。

然而，物聯(lián)網(wǎng)安全目前是一個(gè)巨大的問(wèn)題。根據(jù)網(wǎng)絡(luò)安全公司帕洛阿爾托網(wǎng)絡(luò)威脅情報(bào)團(tuán)隊(duì)Unit42的研究，目前該領(lǐng)域大約57%的物聯(lián)網(wǎng)設(shè)備容易受到中等或高嚴(yán)重程度的攻擊。

Linklater指出：“這些物聯(lián)網(wǎng)設(shè)備的挑戰(zhàn)在于，它們的設(shè)計(jì)以成本和可靠性為優(yōu)先考慮，而安全性往往被忽視?！薄斑@些物聯(lián)網(wǎng)設(shè)備存在風(fēng)險(xiǎn)，因?yàn)樵诓渴疬^(guò)程中通常很難實(shí)施安全控制?！?

雖然企業(yè)可以采取措施將物聯(lián)網(wǎng)的風(fēng)險(xiǎn)降至最低，但企業(yè)無(wú)法在供應(yīng)鏈的所有環(huán)節(jié)實(shí)施適當(dāng)?shù)奈锫?lián)網(wǎng)安全預(yù)防措施。這使得物聯(lián)網(wǎng)成為一個(gè)巨大的風(fēng)險(xiǎn)。

第三方系統(tǒng)訪問(wèn)：不可避免且不受監(jiān)控

不僅是許多軟件解決方案和物聯(lián)網(wǎng)設(shè)備在公司的供應(yīng)鏈上發(fā)揮作用。也有許多雇員和承包商參與其中。通常，出于后勤需要，這些員工被允許訪問(wèn)公司的部分網(wǎng)絡(luò)或計(jì)算系統(tǒng)。

雖然可能需要第三方訪問(wèn)系統(tǒng)，但這也是一個(gè)與物聯(lián)網(wǎng)設(shè)備安全相同或更大的巨大安全風(fēng)險(xiǎn)。人類(lèi)通常是安全鏈中最薄弱的一環(huán)，參與供應(yīng)鏈但不受公司直接監(jiān)控的工人是始終存在的安全隱患。

Das警告說(shuō)：“有第三方訪問(wèn)組織網(wǎng)絡(luò)的供應(yīng)商可能會(huì)在不經(jīng)意間受到損害，并進(jìn)行滲透。其中一個(gè)最大的例子是Target攻擊，攻擊者設(shè)法通過(guò)暖通空調(diào)供應(yīng)商滲透到Target的銷(xiāo)售點(diǎn)(PoS)機(jī)器?！?

企業(yè)從全球貿(mào)易及其日益復(fù)雜的供應(yīng)鏈中受益匪淺。但正如上述風(fēng)險(xiǎn)因素所示，供應(yīng)鏈也帶來(lái)了相當(dāng)多的額外安全風(fēng)險(xiǎn)。