美国NIST 供应链安全指南：10 条要点

美国商务部国家标准与技术研究院 (NIST) 最近发布了降低供应链网络安全风险的最新指南。

该更新名为“软件供应链安全指南”，是 NIST 对美国总统乔·拜登 (Joe Biden) 发布的旨在改善美国网络安全的行政命令所发布指令的回应。

本 NIST 指南假定针对联邦机构。但是，NIST 指出它可以适用于所有类型的组织。是网络供应链风险管理最全面的参考资料之一。 

文档达到326页，若暂时不想阅读 326 页的文档？以下是 10 条关键内容，可以快速了解文档要点。

考虑漏洞的特定组成部分

NIST 建议对漏洞采取原子化的观点，呼吁不仅要考虑产品，还要考虑每个特定组件。也不要忘记“这些组件到达目的地所经历的旅程”。

供应链面临风险

供应链面临的风险比以往任何时候都大。世界各地的公司都在制造产品，而且这些产品非常复杂。来自不同地方的不同制造商可能会将来自世界各地的零件组装成单独的组件。用于复杂机械、计算机和其他设备的零件的数十个、数百个或数千个来源中的每一个本身都可能成为旨在呼吸供应链的攻击的受害者。所有这些都适用于软件和硬件。

自定义准则

NIST 准则并非放之四海而皆准。相反，该机构设计了可定制的原则和实践。该文件称，“企业应确定、采用和调整本文件中描述的做法，以最好地适应其独特的战略、运营和风险环境。”

自动化必不可少

如果没有自动化，就无法遵循 NIST 准则。事实上，企业需要在当今复杂的供应链世界中实现风险管理工作流程的自动化。

每个员工都很重要

一个企业需要一个村庄。这份文件让每个工人都成为网络安全卫士。另外，它指出所有组织都是相互关联的。在供应链的一个组成部分中发现漏洞通常可以保护其他组成部分。

不要跳过附录 A

附录 A 包含最重要的更新。这是该准则的广泛“安全控制”列表，这些“安全控制”是保障措施或反措施。NIST 将它们分类为“系列”，例如“访问控制”、“事件响应”、“风险评估”等等。这是新指南中得到最多支持和补充的部分。

零信任问题

NIST 指南呼吁对供应链进行零信任。他们并没有重复“零信任”的流行语，但这个想法已嵌入到安全控制中。例如，在“访问控制”系列下，该文件称“组织必须将信息系统访问限制为授权用户、代表授权用户的流程、设备（包括其他信息系统）以及交易类型和功能允许授权用户行使。”

“访问执行”部分还指出“信息系统和供应链具有适当的访问执行机制”。该指南包含更多关于这意味着什么、执法应该如何运作以及其他细节的信息。这一切加起来就是零信任。

供应链连接

更新后的 NIST 指南明确指出，供应链基础设施和资源并不是分开的。相反，它们包括信息技术和运营技术。NIST 还提出了物联网设备、软件和服务。

每个人的东西

不仅仅是开发人员应该阅读、研究和参考《软件供应链安全指南》。相反，NIST 指出它拥有非常广泛的目标受众。新指南适用于经理、工程师、企业主、开发人员、项目经理、采购经理和任何负有采购责任的人。NIST 还为所有物流领导者、系统集成商、物业经理、连续性规划人员、涉及隐私的任何人、组件生产商，当然还有涉及网络安全的每个人设计了它。

优先考虑正确的风险

优先级排序是供应链风险管理的关键。该指南详细介绍了风险，如何正式了解供应链中最大风险所在的位置，以及如何确定这些最大风险的优先级并采取行动。它还提供了在三个层面上查看风险的建议：企业、业务流程和运营层面。

凭借无尽的时间、人力和资源，您可以完全遵循更新后的 NIST“软件供应链安全指南”。在现实世界中，该文件提供了一个全面的（如果不可避免地是理想的）风险目录和确保供应链安全的补救措施。该指南可以通过将风险优先级排序与自动化、人工智能和其他工具相结合来提供实用的路线图。此外，对于许多认为自己不需要将安全放在首位的员工来说，它是一个有价值的教育工具。