SolarWinds 供應鏈攻擊凸顯了供應鏈對網(wǎng)絡攻擊的脆弱性。供應鏈風險緩解已成為風險管理戰(zhàn)略和信息安全計劃的重要組成部分。為了支持這項工作的成功，我們列出了 2022 年您需要注意的 4 大供應鏈安全風險。這些安全風險應在事件響應計劃中得到解決，以防止安全漏洞助長第三方數(shù)據(jù)泄露和供應鏈攻擊。

2022 年四大供應鏈安全威脅

安全威脅包括對敏感數(shù)據(jù)和數(shù)據(jù)保護的完整性產(chǎn)生負面影響的任何暴露和網(wǎng)絡威脅。2022年最流行的引發(fā)供應鏈安全擔憂的安全管控隱患如下。

第三方供應商風險

第三方風險通常會給您的組織帶來重大的數(shù)據(jù)安全風險。這通常是由于安全策略薄弱而導致的安全實踐不佳。

影響供應鏈網(wǎng)絡安全的不幸現(xiàn)實是，您的第三方供應商可能不像您那樣重視網(wǎng)絡安全。

數(shù)字風險

數(shù)字風險是數(shù)字化轉(zhuǎn)型不可避免的副產(chǎn)品——你添加到生態(tài)系統(tǒng)中的數(shù)字解決方案越多，網(wǎng)絡犯罪分子擁有的潛在網(wǎng)絡網(wǎng)關(guān)就越多。這些暴露可能是由軟件漏洞引起的，例如零日漏洞利用或被忽視的配置錯誤。

如果不加以解決，數(shù)字風險可能會發(fā)展為以下供應鏈威脅：

• 勒索軟件攻擊
• 安全漏洞
• 惡意軟件感染
• 流程中斷
• 知識產(chǎn)權(quán)盜竊
• 不遵守監(jiān)管安全標準（尤其是對醫(yī)療保健行業(yè)不利）。

供應商欺詐

供應商欺詐或供應商欺詐是指自稱是已知零售商的網(wǎng)絡犯罪分子要求更改其支付流程。這些事件很難識別，因為欺詐者通常采用先進的社會工程技術(shù)，包括人工智能生成的語音郵件和 Deepfake 視頻記錄。

影響全球供應鏈安全的欺詐事件不僅限于供應商類別。越來越多的數(shù)據(jù)泄露事件是由第三方供應商成為各種社會工程和欺詐策略的受害者造成的。

自大流行期間突然流行以來，欺詐行為仍在上升。根據(jù)聯(lián)邦貿(mào)易委員會的數(shù)據(jù)，2021 年美國人因欺詐損失超過 58 億美元，自 2020 年以來增加了 24 億美元。

2021 年排名前 5 位的欺詐類別是獎品、抽獎、彩票、互聯(lián)網(wǎng)服務以及企業(yè)和工作機會。

數(shù)據(jù)保護

整個供應鏈的數(shù)據(jù)完整性是安全問題的一個重要領(lǐng)域。安全措施應確保所有數(shù)據(jù)狀態(tài)都是安全的，包括靜止和動態(tài)。數(shù)據(jù)加密實踐在第三方集成之間尤為重要，因為黑客知道目標的第三方供應商可能可以訪問他們的敏感數(shù)據(jù)。

2022 年供應鏈風險管理 5 大最佳實踐

通過實施以下最佳實踐，可以解決供應鏈中常見的網(wǎng)絡安全風險。

1. 第三方風險評估

定期的第三方風險評估計劃將在網(wǎng)絡犯罪分子利用它們之前發(fā)現(xiàn)供應鏈安全風險。理想情況下，這些評估應該是完全可定制的，以適應每個供應商的獨特風險狀況。除了可定制的風險評估外，還提供與流行的網(wǎng)絡安全框架的評估映射，以確保供應商不斷改善其安全狀況。

2.數(shù)據(jù)加密

為了在第三方泄露的情況下降低敏感數(shù)據(jù)的價值，應對所有形式的數(shù)據(jù)實施加密做法，尤其是在第三方集成的接口處。理想情況下應實施高級加密標準 (AES)。它被認為是最難破解的加密類型之一，這就是政府和軍方普遍使用它的原因。

3. 攻擊面監(jiān)控

攻擊面監(jiān)控解決方案將識別第三方安全風險，增加您遭受供應鏈攻擊的機會。攻擊面監(jiān)控解決方案可以發(fā)現(xiàn)跨第三方甚至第四方網(wǎng)絡的云解決方案的安全漏洞。

4. 事件響應計劃

如果發(fā)生供應鏈攻擊，您的反應應該有計劃和協(xié)調(diào)，而不是零星和缺乏策略。精心設(shè)計的事件響應計劃應該可以幫助您的安全團隊為每個供應鏈攻擊場景做好準備，同時將對業(yè)務連續(xù)性的影響降至最低。

5. 滲透測試

供應鏈攻擊絕不應該是第一次執(zhí)行事件響應計劃。應對策略應通過滲透測試進行常規(guī)評估。滲透測試還可以發(fā)現(xiàn)安全系統(tǒng)忽略的高級供應鏈安全威脅。