| 英国供应链安全指南 |
前言
供应链安全其实早就摆在我们面前,只是我们一直没有真正重视。我们可以看到震网病毒事件,其实就是一起轰动全球的供应链安全事件,因为受害者不是最强的美国,虽然整个网络安全界都震惊,但并未引起全球性真正足够的重视。时间来到2020底,美国企业和政府网络突遭“太阳风暴”攻击。黑客利用太阳风公司(SolarWinds)的网管软件漏洞,攻陷了多个美国联邦机构及财富500强企业网络。2020年12月13日,美国政府确认国务院、五角大楼、国土安全部、商务部、财政部、国家核安全委员会等多个政府部门遭入侵。
SolarWinds 事件影响范围之广、潜伏时间之长、隐蔽性之强,攻击复杂度根据报道来看,可谓是达到了前所未有的高度。当时我自己在自己的公众号里一半认真一半戏谑的说,SolarWinds供应链攻击事件将成为美国年度最大的网络攻击事件,也将成为全球年度最大的攻击事件。
所以,供应链安全被再次高度重视,而且达到了前所未有的高度。同时,我国在多个领域被美国卡脖子,其原则上也是供应链安全,只是一个是利用供应链进行攻击,一个是切断供应链,总体来说都属于供应链安全,我们今天聊的供应链安全主要专注于网络安全领域的供应链安全,同时我对此方面的内容也是一知半解,以我个人了解广州樊山老师,结合自身丰厚的知识和经验,对供应链安全研究较深,是我们从业者学习的对象。
鉴于,我们在供应链安全方面的起步较晚,所以这方面的工作开展,我们手里其实还是缺少材料的。我国虽然未发生或发现重大的类似殖民者管道那样的供应链攻击,但是我国的供应链安全同样面临着非常严重的威胁,好在我们在这块属于看到问题就及时整改,不像某些国家非要等到自己吃次亏后,方想起来问题严重性,这就是我们在这块的优点,也有一定的后发优势。
本文旨在于让大家对国外这块有个简单的了解和借鉴,因时间仓促,个人能力有限,必然存在大量舛误,还请大家多多海涵。更多交流,咱们可以以祺印说信安公众号为纽带,共同讨论。
如何评估供应链网络安全并获得信心
帮助大中型组织获得有关其组织供应链网络安全的保证的实际步骤。
本指南介绍了帮助组织更好地评估其供应链中的网络安全的实际步骤。它面向需要获得信心或保证的中型到大型组织,即针对与供应商合作相关的漏洞采取了缓解措施。
更具体地说,本指南:
·描述典型的供应商关系,以及组织通过供应链暴露于漏洞和网络攻击的方式
·定义预期结果和关键步骤,以帮助评估供应链的网络安全方法
·回答在阅读指南时可能遇到的常见问题
·补充NCSC的供应链原则(2020年发布),该原则在整个过程中被引用
注意:
有关如何在自己的组织中实施网络安全的指导,请参阅NCSC 的网络安全 10 个步骤指南。较小的组织应参考我们的小型企业网络安全指南。
本指南适用于谁?
该指南面向希望建立(或改进)评估其组织供应链网络安全的采购专家、风险经理和网络安全专业人员。它可以“从头开始”应用,也可以建立在可能使用的任何现有风险管理技术和方法之上。
·它适用于在商业和公共部门工作的大中型企业。
·具有需要多年采购活动的复杂供应链的组织已经制定了既定流程来保护其供应链。
了解威胁
许多组织依靠供应商来提供产品、系统和服务。供应链通常庞大而复杂,有效保护供应链可能很困难,因为漏洞可能是固有的、引入的或在其内部的任何时候被利用的。这使得很难知道是否在整个供应链中有足够的保护。
近年来,出现了供应链中的漏洞导致网络攻击数量显著增加.这些攻击可能会对受影响的组织、其供应链和客户造成毁灭性、昂贵和长期的影响。
尽管存在这些风险,但许多公司忽视了他们的供应链。事实上,根据2022年安全漏洞调查,只有超过十分之一的企业审查其直接供应商带来的风险(13%),而更广泛供应链的比例是这个数字的一半(7%)。
虽然问题已得到理解,但供应链的互联和分布式性质可能使难以了解供应商如何管理和维护其网络安全。资源有限的组织可能会面临以下挑战:
·对供应链网络安全不佳可能带来的风险认识或理解不足
·缺乏防范供应链风险的投资
·对供应链的可见性有限
·评估供应商网络安全的工具和专业知识不足
·不知道应该要求供应商做什么
NCSC制定了本指南,以帮助缓解这些挑战。它补充了现有的NCSC指南,应结合阅读:
原文始发于微信公众号(祺印说信安):供应链安全指南全文释出
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论