网络安全知识：绘制供应链图

组织如何映射其供应链依赖性，以便更好地理解和管理供应链中的风险。

介绍

本指南针对的是需要获得信心或确保已针对与供应商合作相关漏洞采取缓解措施的大中型组织。

请结合 NCSC 关于如何评估供应链网络安全并获得信心的指南一起阅读。

什么是供应链映射？

供应链绘图 (SCM) 是记录、存储和使用从参与公司供应链的供应商处收集的信息的过程。目标是对您的供应商网络有最新的了解，以便更有效地管理网络风险并进行尽职调查。

许多组织依赖供应商来提供产品、系统和服务。供应链通常庞大且复杂，有效地保护供应链可能很困难，因为漏洞可能是固有的、在其中的任何一点引入或利用的。这使得您很难知道您是否在整个供应链中拥有足够的保护。

注：SCM遵循一切良好风险管理的原则；组织需要了解其供应链中固有的风险，然后引入与这些风险发生的可能性（和影响）成比例的安全措施。

供应链管理的好处

了解您的供应商是谁、他们提供什么以及如何提供将帮助您管理可能出现的网络安全风险。绘制供应链图可以让您根据风险做出更明智的业务决策，特别是：

• 更好地洞察网络安全考虑因素，可以通过合同更轻松地执行

• 更好地应对供应链相关网络事件

• 能够建立可重复的方法，使您对供应商的安全实践充满信心，并建立长期合作伙伴关系

• 更容易遵守法律、监管和/或合同责任

• 定期评估供应链将减少网络攻击或破坏的可能性

完全消除供应链攻击是不可能的  。如果出现风险，能够快速响应将限制对组织造成的损害范围。

SCM应包含哪些信息？

以一致的方式收集有关供应商的信息并将其存储在访问控制的集中存储库中，将确保更容易分析和维护。这最终将使您能够更好地管理风险，因为您将获得始终最新的供应链的全面视图。

可能有用的典型信息包括：

• 供应商及其分包商的完整清单，显示他们如何相互联系

• 正在提供什么产品或服务、由谁提供以及该资产对您的组织的重要性

• 您的组织和供应商之间的信息流（包括对该信息价值的理解）

• 供应组织内的保证联系人

• 有关上次评估完整性的信息、下一次保证评估到期时间的详细信息以及任何未完成的活动

• 任何所需认证的证明，例如 Cyber Essentials、ISO 认证、产品认证

获取这些信息可能是一项艰巨的任务，特别是对于具有复杂供应链的大型组织而言。NCSC 关于如何评估供应链网络安全的指南将有助于完成此任务，并且还可以确保捕获来自新供应商的供应链依赖性。

注意：此信息对于攻击者来说是一个有吸引力的目标，因此所有 SCM 资产都应保存在一个安全的存储库中，并具有强大的安全架构来支持其设计。

绘制供应商地图的工具

有关现有供应商的信息可能已存在于您的采购系统中。如果供应商有多个入口点，则需要汇总相关信息。根据您组织的规模，考虑商业工具可能会有所帮助，这些工具可以：

• 协调现有供应链信息

• 帮助及时更新有关供应商保证的信息

• 监控初始层以外的供应链，并识别承包商和分包商的集中风险

• 使您的供应链连接、互动和可视化变得更加容易

供应链中的分包商

供应链中任何地方存在的漏洞，无论是您的直接供应商还是他们分包给的供应商，都可能会影响您的组织。对于大型组织，应评估主要层之外的理解的实用性和有用性，并且最初只应捕获有关直接承包商的信息。

您需要在供应链中走多远？到底什么是分包的，其重要性是什么（考虑到组织的风险标准）？这些问题需要预先考虑获取信息的需求与获取信息的成本。你应该：

• 确定使用的技术、系统和服务的重要性

• 考虑一下准备投入多少精力来建立整个供应链

• 与主要供应商签订合同条款，以提供供应链的可见性

• 让供应商放心如何使用这些信息以及谁可以访问这些信息，因为供应商可能对共享商业敏感信息持谨慎态度

• 使用此共享信息来了解直接一级供应商正在使用的主要共享供应商，突出集中风险

• 确保也考虑数据供应链（即产品可能使用第三方的数据，甚至依赖其他人的数据）

供应商和分包商的合同条款

与供应商和分包商签订的合同应考虑以下条款：

• 事件管理响应和响应违规的通知时间框架（以及为组织提供支持以查找根本原因）

• 审核供应商/分包商的能力（以及预期审核频率）

• 数据管理（仅可以将必要的数据传输出组织网络）

• 数据完整性（数据是否通过身份验证和加密进行保护，如果数据保存在供应商平台上，数据是否会被隔离？）

• 对供应商访问物理场所、信息系统和知识产权的管理控制（包括确保其保持最新的流程）

• 您的直接供应商应向其供应链提出的任何要求（如上所述）

入门

您的方法将取决于组织的采购和风险管理流程以及可以使用的工具。以下是首次接触SCM 的组织的首要优先事项。

1. 使用现有商店（例如采购系统）来建立已知供应商列表。优先考虑对组织至关重要的供应商、系统、产品和服务。

2. 确定哪些信息对捕获有关供应链有用。

3. 了解如何安全地存储信息并管理对其的访问。

4. 确定是否要收集有关供应商分包商的信息，以及到底要收集到多远的信息链才是有用的。

• 考虑使用额外的服务来评估供应商并提供有关其网络风险状况的补充信息。

• 对于新供应商，请在采购流程中预先说明期望供应商提供的内容。

• 对于现有供应商，告知他们您想要捕获有关他们的哪些信息以及原因，并将从现有供应商收集的信息改进到集中存储库中。

5. 更新标准合同条款，以确保在开始与供应商合作时按标准提供所需信息。

6. 定义组织中谁最适合使用此信息；这可能包括采购、企业主、网络安全和运营安全团队。让他们了解信息存储并提供访问权限。

7. 考虑创建一个剧本来处理发生事件的情况，并且您可能需要协调整个供应链以及第三方（例如执法机构、监管机构甚至客户）的工作。有用的供应链场景可以在NCSC 盒式服务练习中找到。

8. 最后，记录由于供应链映射而需要在采购流程中更改的步骤。例如，您可能需要考虑排除那些无法令人满意地证明其满足您的最低网络安全需求的供应商。