供应链网络安全：痛苦还是快乐?

无论是一个小型复印店还是大型制造商或互联网企业，都或多或少会依赖第三方软件开发公司提供的产品和服务来支持日常工作。供应商对企业日常运用很重要，并会在某种程度上与企业进行软件上的互动，这也导致了软件供应链风险的产生。

多数情况下，公司通过限制这些个人的访问权限来处理这些风险载体，例如阻止他们访问特定区域，或使用网络和IT资源。然而，尽管IT部门通常会评估公司可能用于云服务等领域的官方供应商，但在监控公司整个供应链上，来自第三方供应商的网络安全风险仍然是一个长期存在的业务挑战。

从根本上说，为了降低网络安全风险，公司应该确保与他们合作的每一个供应商都能够保护数据的安全，以及他们所受委托的服务的安全性及可用性。当前网络攻击已经变化多端，以至于攻击的起点往往不是主要攻击目标，而是底层供应链中最薄弱的部分。

评估风险

许多组织使用手工流程来进行基于供应商的网络安全评估，通过电子邮件发送电子表格、Word或PDF问卷，但这很繁琐，甚至其本身也可被视为网络安全风险。

更大的风险是，手工流程使组织更难全面了解网络风险在供应链中的位置。如果没有定期整理和评估数据，那么未能满足要求的供应商可能会被排除。更糟糕的是，整个供应链的系统性风险可能会让组织暴露在灾难性的网络事件中。当这样的事情发生时，为时已晚。

无论是网络安全、财务还是其他监管控制，组织都需要一个更可靠的方法来降低与供应商、供应商和其他第三方相关的风险。

标准化的自动化方法

一个良好的供应商保障安全需要采购团队、IT 团队和其他部门共同努力，确保他们在网络安全和法规遵从方面了解彼此的领域、目标和职责。他们的出发点是共同制定“供应商影响”标准，系统地评估每个供应商或第三方在该部门的范围内可能存在的内在风险。

• 制定标准

然后可以根据这些标准对供应商进行衡量，并确定供应商在安全上的水平。

对于大型供应商或者影响较大的企业，应该使其在内部对其软件安全进行评估和检测。如ISO27001、NIST、CNAS等。对于供应商的安全团队，有必要进行严谨的安全检测和审计工作。

• 第三方专业安全检测团队

如果需要进行技术评估或测试，如由安全可信的第三方进行代码安全检测或者渗透测试，供应商若无法保证安全团队可以完成，在必要时可以选择外部测试人员。

• 持续评估安全性

对供应商的安全评估应该是持续性的，“采购时保证”并不够。随着现代商业步伐的变化和发展，对安全的评估应该是定期进行，以确保对安全风险的把控。此外，供应商保证团队可以安排和管理这些持续的审查，并专注于第三方风险的治理——无论是网络风险、连续性风险、金融风险还是监管风险——但由具有领域专业知识的人执行，与供应链中的同行进行对话。

消除供应链网络安全的痛苦

采用制定的战略方法来管理供应链的网络安全和更广泛的合规问题，这样可以创造了一个环境，使涉及供应商风险的不同团队开始使用共享的信息系统来记录和可视化供应商风险。

通过对供应商进行规范化，保证流程并使用技术促进其在所有领域的执行，使得网络安全评估成为整个供应商管理过程中的一部分。通过这种方式，公司可以提高对供应链的信心，降低网络风险，并减少很多体验的痛苦。

文章来源：

https://www.helpnetsecurity.com/2022/01/07/supply-chain-cybersecurity/