供应商安全措施不到位是供应链安全最值得关注的风险之一

在过去的两年里，供应链安全事件的频繁爆发和巨大影响引发了行业内各界的高度重视，企业业务连续性同样面临巨大挑战。ISACA的一份调查报告阐述了IT专业人员对供应链安全挑战的主要担忧，以及他们的组织如何应对这些挑战。

据了解，该报告收到了1300多名与软件供应链相关的IT专业人员的回复，其中25%的人指出，他们的组织在过去12个月中经历了供应链攻击。

报告数据反映出当前最值得关注的供应链风险中，排名前五位的分别是：勒索软件(73%)、供应商的信息安全措施不到位(66%)、软件安全漏洞(65%)、第三方数据存储(61%)、能够访问信息系统及软件代码或IP的第三方服务提供商(55%)。

这意味着组织已经充分意识到，除了广受瞩目的勒索软件攻击之外，供应商自身在安全措施方面的不到位将会给组织带来巨大的风险，受关注程度甚至超过了漏洞。

此外，30%的受访者表示，他们组织的高层人员对供应链安全风险缺少足够的了解。只有44%的人表示他们对其组织的供应链安全性有很高的信心，同样比例的人对整个供应链的访问控制有很高的信心。但是对于未来的前景，他们的所反映的情况却很不乐观——53%的人表示，他们预计未来六个月供应链安全问题将会保持当前趋势甚至会呈现进一步恶化趋势。

前ISACA董事会主席表示，组织的供应链一直很脆弱，但疫情时期的状况进一步表明，它们面临着包括安全威胁在内的一系列因素的风险。至关重要的是，企业需要花时间了解这种不断变化的风险格局，并检查其组织内可能存在的需要优先处理和解决的安全漏洞。

当谈到采取行动时，84%的人表示，至少在目前看，他们所在组织的供应链需要得到更好的治理。接近20%的受访者表示，他们的供应商评估流程不包括网络安全和隐私评估。此外，39%的企业尚未与供应商制定网络安全事件的应对计划，60%的企业尚未与供应商协调和实施基于供应链的事件应对计划。近一半的受访者(49%)表示，他们的组织没有对供应链执行漏洞扫描和渗透测试。

报告制作者认为，管理供应链安全风险需要多管齐下，如定期进行网络安全和隐私评估，并与供应商密切合作，制定和协调事件应对计划。其中，组织与相关信息系统供应商建立牢固的关系并建立持续的沟通渠道是确保审查、信息共享和补救工作顺利有效进行的关键部分。

对于如何加强IT供应链安全，报告也给出了一些建议，首先全面梳理和维护供应商及其提供产品的细节清单，以及确切的了解自己所使用的产品中包含哪些开源组件，因为你不能保护你不知道的东西。其次是对关键的产品、服务提供商进行或要求他们进行网络威胁和漏洞分析，并定时出具详细的报告，同时最好在相关产品、服务采购中也明确相关安全条款。最后，尽管建立合作是意味着彼此已经达成了信任关系，但对为自己关键业务提供支撑的产品、服务提供商进行不定期的抽查，以确保其安全相关的工作时刻到位，从而进一步降低因其某些安全措施不到位而引发会影响自身业务的安全事件出现概率。

在当前供应链安全挑战不断加大的背景下，对于软件服务提供商而言，也需要对自身的安全投以加倍的重视。毕竟在事件爆发之后，客户不会区分是对提供商软件服务供应链中所包含的第三方组件受到攻击所导致还是提供商自身系统遭到攻击所导致的，失去客户的信任将会对自身业务有着极为恶劣的影响，因此，供应链安全是牵扯从上至下所有组织、企业的，一旦遭受攻击并导致沉重的后果，很难说会有谁能够在这之中独善其身。

THE END