讓您的供應(yīng)鏈抵御網(wǎng)絡(luò)攻擊

Contents 3 4 6 10 10 11 13 14 15內(nèi)容摘要01背景越來越多地利用商業(yè)供應(yīng)鏈中的漏洞。這會給那些未在組織中建立強(qiáng)有動對整個生態(tài)系統(tǒng)產(chǎn)生重大影響。如今，在整個供應(yīng)鏈中提供適當(dāng)?shù)陌彩紫?yīng)鏈官和供應(yīng)鏈副總裁在保障供應(yīng)鏈網(wǎng)絡(luò)安全方面發(fā)揮著次網(wǎng)絡(luò)攻擊、業(yè)務(wù)影響和主要經(jīng)驗(yàn)教訓(xùn)表明，缺乏保護(hù)、檢測和應(yīng)力是如何導(dǎo)致重大商業(yè)后果。企業(yè)面臨的直接監(jiān)管、財務(wù)和聲譽(yù)影響，減值和長期的增長挑戰(zhàn)。本白皮書為供應(yīng)鏈專業(yè)人士提供了有關(guān)如何1介紹02在整合網(wǎng)絡(luò)安全措施方面，供應(yīng)鏈內(nèi)部存在重大差距。供應(yīng)鏈由于其全球互聯(lián)景提供了許多可供利用的載體，從而導(dǎo)致網(wǎng)絡(luò)攻擊。由于網(wǎng)絡(luò)攻擊的高度危險性，建立安全性。那么，供應(yīng)鏈安全到底是什么？供應(yīng)鏈安全是指企業(yè)供應(yīng)鏈中涉及的內(nèi)所有人參與的合作努力。攻擊可以通過數(shù)據(jù)盜竊、偽造、未經(jīng)授權(quán)的訪問和公司范圍的影響。這些風(fēng)險可能導(dǎo)致組織中斷、滲透、數(shù)據(jù)泄露、致財務(wù)損失，還會導(dǎo)致聲譽(yù)受損、信任受損、錯過最后期限和引發(fā)客戶不滿。長期中斷67%資料來源：安永全球信息安全調(diào)查20211介紹3針對IT針對IT供應(yīng)商關(guān)鍵基礎(chǔ)設(shè)施的APT（高級持續(xù)威脅為什么供應(yīng)鏈安全很重要?03此外，根據(jù)2022年世界經(jīng)濟(jì)論壇3發(fā)布的《全球網(wǎng)絡(luò)安53.2%55.6%供應(yīng)鏈安全現(xiàn)狀根據(jù)2023年業(yè)務(wù)連續(xù)性研究所的調(diào)查2，網(wǎng)絡(luò)攻擊造成的中斷是長期關(guān)注的主要問題：53.2%的受訪者擔(dān)心網(wǎng)絡(luò)攻擊在未來12個月內(nèi)可能導(dǎo)致供應(yīng)鏈中斷，55.6%的受訪者擔(dān)心未來5年內(nèi)可能導(dǎo)致供應(yīng)鏈中斷。這也是過去12個月中，35.7%的組織中斷原因中被提及的第六大未來1235.7%35.7%資料來源：2023年業(yè)務(wù)連續(xù)性研究所調(diào)查24為什么供應(yīng)鏈安全很重要為什么供應(yīng)鏈安全很重要?用不斷增長。工業(yè)4.0側(cè)重于通過增加互聯(lián)性來融合IT和OT資產(chǎn)。根據(jù)歐洲網(wǎng)絡(luò)安全局（ENISA）4在2022年根據(jù)OT的IBM網(wǎng)絡(luò)安全專家20225年的報告，制造在2021年Gartner對352名供應(yīng)鏈專業(yè)人士進(jìn)行的調(diào)查628%18%8%資料來源：2021年Gartner對352名供應(yīng)鏈專業(yè)人士的調(diào)查6為什么供應(yīng)鏈安全很重要為什么供應(yīng)鏈安全很重要?影響深遠(yuǎn)的攻擊NotPetya勒索軟件攻擊NotPetya網(wǎng)絡(luò)攻擊是供應(yīng)鏈攻擊中對多個組織產(chǎn)生重大業(yè)務(wù)影響的一個例子。NotPetya是一款針對全球組超過50000個端點(diǎn)（筆記本電腦、臺式機(jī)、工作站）受損失估計超過100億美元。這次攻擊導(dǎo)致了全公司范圍在催化當(dāng)前對于貨物和資產(chǎn)盜竊增加的趨勢7。根據(jù)貨聯(lián)網(wǎng)的數(shù)據(jù)8，2022年在美國和加拿大共報告了大約2000起盜竊事件，且自2021年以來，供應(yīng)鏈風(fēng)險事件增加了26%23%16%19%16%15%7%10%7%內(nèi)部威脅活動盜竊貸款劫持源容器/拖車2022年全球貨物盜竊趨勢資料來源：貨聯(lián)網(wǎng)7,8為什么供應(yīng)鏈安全很重要?事件影響供應(yīng)鏈安全中的關(guān)鍵事件可能會對聲譽(yù)產(chǎn)生重大影響。像NotPetya勒索軟件這樣的安全事件可能會因客戶不滿意而導(dǎo)致品牌形象下降，失去對公司可靠性的品牌地位。重要的是要記住評估整個供應(yīng)鏈中的第三方服務(wù)提供根據(jù)Centrify的一項研究9，在安全漏洞或事件發(fā)生后，65%的客戶對組7供應(yīng)鏈安全計劃和策略804人員供應(yīng)鏈利益相關(guān)者應(yīng)實(shí)施適當(dāng)?shù)挠媱澓蛻?zhàn)略，以確保組織的供應(yīng)鏈?zhǔn)前踩?。在企業(yè)人員正確的軟件對于供應(yīng)鏈來說非常重要，但僅僅整合先進(jìn)技術(shù)并不能保模型在各個領(lǐng)域得到了廣泛的應(yīng)用，在設(shè)計功能性供應(yīng)鏈安全方案時非常適用。通過該模供應(yīng)鏈利益相關(guān)者可以確保制定兩個主要的網(wǎng)絡(luò)安全培訓(xùn)計劃：針對員工的內(nèi)部培訓(xùn)伙伴的外部培訓(xùn)計劃。內(nèi)部和外部利益相關(guān)者都應(yīng)接受培訓(xùn)，以增強(qiáng)他們的安全知識，所有人員都受過良好的培訓(xùn)，并為潛在的事件做好準(zhǔn)備。倡導(dǎo)全組織的安全意識供應(yīng)鏈利益相關(guān)者還可以制定內(nèi)部認(rèn)證計劃，以確保員工獲得執(zhí)行某些安全相關(guān)活人員是任何企業(yè)最重要的資產(chǎn)。供應(yīng)鏈利益相關(guān)者應(yīng)優(yōu)先為參與供應(yīng)鏈運(yùn)營供應(yīng)鏈安全計劃和策略9流程供應(yīng)鏈安全流程供應(yīng)鏈安全“流程”是指導(dǎo)企業(yè)如何管理和應(yīng)對網(wǎng)絡(luò)安全和供應(yīng)鏈中的網(wǎng)絡(luò)安全活動的供應(yīng)鏈利益相關(guān)者可以在資產(chǎn)生命周期的整個預(yù)調(diào)試、調(diào)試、服務(wù)、維護(hù)和退役供應(yīng)鏈利益相關(guān)者可以在資產(chǎn)生命周期的整個預(yù)調(diào)試、調(diào)試、服務(wù)、維護(hù)和退役時，遺留系統(tǒng)和設(shè)備可能缺乏安全措施或缺少安全更新。因此，清晰了解資28000，其中概述了建立、實(shí)施、維護(hù)和持續(xù)加強(qiáng)供應(yīng)鏈業(yè)務(wù)安全管理系統(tǒng)的所有要求。組織應(yīng)遵循ISO9001（質(zhì)量管理體系）、ISO14001（環(huán)境管理體ISO28000（供應(yīng)鏈安全管理體系）等標(biāo)準(zhǔn)，以實(shí)現(xiàn)質(zhì)量標(biāo)準(zhǔn)化和維護(hù)企業(yè)聲譽(yù)。根據(jù)不同的業(yè)務(wù)需求，可能需供應(yīng)鏈安全計劃和策略10在典型的供應(yīng)鏈中，涉及許多實(shí)體，例如供應(yīng)商、制造商、分銷商和物流供應(yīng)在典型的供應(yīng)鏈中，涉及許多實(shí)體，例如供應(yīng)商、制造商、分銷商和物流供應(yīng)漏洞管理是指識別、評估和緩解供應(yīng)鏈中潛在的漏洞和安全風(fēng)險。供應(yīng)鏈利此類攻擊的主要原因是缺乏IT資產(chǎn)管理和漏洞管理。穩(wěn)健的第三方管理、漏洞管理和信息技術(shù)資產(chǎn)管理將有助于減輕一些風(fēng)險。供應(yīng)鏈在很大程度上依賴于定義明確的程序和流程進(jìn)行運(yùn)營，供應(yīng)鏈安全計劃和策略11技術(shù)越來越多的企業(yè)正在開發(fā)和實(shí)施供應(yīng)鏈控制塔。根據(jù)Gartner的說法，供應(yīng)鏈控制塔是一個將越來越多的企業(yè)正在開發(fā)和實(shí)施供應(yīng)鏈控制塔。根據(jù)Gartner的說法，供應(yīng)鏈控制塔是一個將據(jù)、組織和技術(shù)相結(jié)合的概念。ControlTowers捕獲并使用來自整個業(yè)務(wù)生態(tài)系統(tǒng)的實(shí)時運(yùn)行數(shù)據(jù)11，以提供關(guān)鍵的網(wǎng)絡(luò)安全指標(biāo)。因此，供應(yīng)鏈利益相關(guān)者可以對關(guān)鍵指標(biāo)進(jìn)行幾乎實(shí)時的供應(yīng)鏈利益相關(guān)者可以增強(qiáng)和擴(kuò)展其IAM系統(tǒng)。這些系統(tǒng)有助統(tǒng)。建議實(shí)施基于角色的身份和訪問管理解決方案來保護(hù)設(shè)施。這可以防止惡云計算服務(wù)也有助于提升供應(yīng)鏈的安全態(tài)勢。云服務(wù)提供了輕松擴(kuò)展計算資源擊時，云服務(wù)的可擴(kuò)展性有助于防止關(guān)鍵供應(yīng)鏈功能的停機(jī)。云服務(wù)還有助于減少所有IoT/OT設(shè)備都需要穩(wěn)定和安全的互聯(lián)網(wǎng)，以實(shí)現(xiàn)無縫的信息交換和數(shù)據(jù)傳輸。供應(yīng)鏈利益相關(guān)者在USCritical基礎(chǔ)設(shè)施攻擊事件中，虛擬專者應(yīng)進(jìn)行盡職調(diào)查，以確保所實(shí)施的技術(shù)符合所有合規(guī)標(biāo)準(zhǔn)和公司要求。最后，采取上架構(gòu)是供應(yīng)鏈的支柱。供應(yīng)鏈利益相關(guān)者應(yīng)通過在其供應(yīng)鏈中采用“安全設(shè)計”的概念，重新檢查和重新設(shè)計其企業(yè)資源規(guī)劃（ERP）以及數(shù)據(jù)架構(gòu)和基礎(chǔ)設(shè)數(shù)據(jù)是供應(yīng)鏈中最重要的數(shù)字資產(chǎn)之一。供應(yīng)鏈利益相關(guān)者可以通過數(shù)據(jù)治理、些行動包括代碼審查、靜態(tài)應(yīng)用程序安全測試、動態(tài)應(yīng)用程序安全測試、系統(tǒng)測結(jié)論05安全措施的實(shí)施對于發(fā)現(xiàn)、保護(hù)和應(yīng)對因網(wǎng)絡(luò)問題導(dǎo)致的供應(yīng)作伙伴、客戶和利益相關(guān)者之間的信任。這種信任的喪失會導(dǎo)致客為了建立一個有韌性的供應(yīng)鏈，供應(yīng)鏈的首席供應(yīng)鏈官和副總12資料來源1306資料來源1./en_us/giss2./index.php/news/resilience-news/8113-bci-supply-chain-resilience-report-20233./docs/WEF_Global_Cybersecurity_Outlook_2022.pdf4.https://www.enisa.europa.eu/publications/good-practices-for-supply-chain-cybersecurity5./reports/threat-intel