供应链安全必须列入您的议程的5个原因

您如何知道服务器和设备内部的关键部件质量不佳,随时可能发生故障?或者,更糟糕的是,隐藏带有恶意程序意图的恶意软件,例如按键记录,数据盗窃或破坏活动?

在诸如英特尔®透明供应链之类的前沿技术之外,要保护全球关联的卖方,买方和合作伙伴免受此类威胁是很困难的。像GE这样的领导者正在拥抱新的风险管理方法,这些方法可提供组件级的可追溯性和身份验证。

然而,许多企业和供应商仍未做好防范或检测不断增长的供应链网络风险的准备。他们无法轻易发现使组织和合作伙伴遭受数据丢失和广泛破坏的破坏部分或破坏。

从不好到更坏

两年前,信息安全论坛(ISF)董事总经理史蒂夫·德宾(Steve Durbin)警告:“当我寻找可能缺乏信息安全的关键领域时,我经常回头的就是供应链。”研究发现16%的公司购买了伪造的IT设备。

从那以后,情况变得越来越糟。最近对1300家公司进行的全球调查发现,有90%的公司“没有做好准备”应对供应链网络攻击

错误的警报或叫醒电话?

因此,毫不奇怪的是,在2018年末发布的轰动性报道称中国在运往大公司的服务器上隐藏了微小的间谍芯片后,人们普遍感到焦虑。

指控很快被否认,最终被揭穿。但是此事件引发了令人担忧的问题:“很多人问:'这可能会发生什么?'”英特尔供应链专家兼工程师Charlie Stark说。

这是一个至关重要的问题,而不仅仅是行业制造商和采购专家。供应链是技术买卖双方的生命线。在过去的几年中,在国家和罪犯不断袭击下,它们已成为战场。一个很小但很明显的冷淡迹象:在Black Hat和Defcon上有关黑客入侵供应链的演讲。

无论您是技术买家,卖家,制造商,投资者还是安全专家,供应链网络安全都列在您的雷达和行动清单中的五个原因。

1.供应链黑客越来越多

专家说,威胁不仅在飞速增长而且被低估。根据行业估计,它们现在占所有网络攻击的50%,去年同比激增了78%。多达三分之二的公司经历了一次事件。平均成本:110万美元。Ponemon Institute于2018年进行的一项研究发现,有56%的组织由于其供应商之一而遭受违反。联邦监管机构报告说,国防部供应链中的IC和其他电子零件普遍被假冒。

几股力量正在助长这一令人担忧的增长。供应链的云化,物联网,全球化以及向庞大,相互联系的数字生态系统的转变是主要因素。地缘政治是另一个。有组织犯罪也渴望利用薄弱的供应链联系。研究人员Cyber​​eason表示,“大量利用一次”是一种有利可图的商业模式,具有低成本和高投资回报率。

2.每个人都在寻找解决方案

可以预见,公共和私营部门的声音正在发出警报。例如,埃森哲和BSI的最新报告将供应链网络安全视为最大的挑战。一个重要的公私合作联盟最近呼吁在这个问题上进行迅速和严格的合作。这些伙伴关系中最具影响力的是ICT供应链风险管理工作组,由国土安全部领导的50多个政府机构和企业。

美国国家标准技术研究院(NIST)发布了有关供应链风险管理的新指南。令人担忧的是,美国网络安全与基础设施安全局(CISA)宣布了“全国供应链完整性月”。9月发布的主要机构工作组报告概述了主要威胁情景,建议和基准。

3.砍过一次,伤了很多

供应链攻击实际上是两种威胁。第一个尝试扰乱或削弱实际的供应链。想想国家对关键基础设施或能源系统的袭击。

但是其他公司则使用供应链作为攻击数十个,数百个或潜在数千个连接伙伴的渠道。通过查找和利用薄弱的链接,攻击者可以在链接的实体之间跳来跳去,窃取数据,并监视或销毁它们。这就是使攻击如此危险的原因-并吸引了黑客。

4.硬件是新目标

Kingslayer,CloudHopper,CCleaner,ShadowPad,ShadowHammer,Black Ghost Knifefish,Heriplor。所有最近对供应链使用或目标软件的攻击。现在,黑客已经加大了赌注。受到更好的软件保护的阻碍,他们的目标是硬件。在任何环境中,如此恶意地钻入硬件堆栈(包括固件,BIOS和UEFI)都是一个巨大的威胁。但是它在供应链中被放大了许多倍。

5.破坏可能是广泛的

供应链违规造成的危害是隐患。它对产品的可靠性和安全性产生了怀疑。如下图所示,制造过程中存在一系列潜在的危害,最高端是供应链攻击。

美国网络安全和基础设施安全局警告每个阶段的供应风险:设计,开发和生产,分配,购置和部署,维护和处置。

同样,违规会造成一系列的组织伤害,包括声誉受损,违规和业务损失。

科技和电子产品是国防,金融服务和能源领域最喜欢的目标,但没有哪个行业能幸免。《 2019年全球威胁报告》发现,现在有超过一半的网络攻击利用了所谓的“孤岛跳动”。这意味着攻击者不仅针对一个组织。作者警告说:“攻击者……不只是要抢劫您和您整个供应链中的人员。”“ [他们]想要“拥有”您的整个系统。”

生态系统保护的重要性

所有这些因素共同构成了一个严峻的现实:供应链威胁是严重的,而且有可能恶化。

人们达成了广泛的共识:组织必须积极发展信息驱动的供应链网络防御。但是,最有效的方法是什么?对于许多买卖双方,它参与了一个经过认证的生态系统。

普华永道(PwC)国家网络主管Chadd Carr建议说:“公司应考虑定义合理的安全级别和相关控制措施,要求分包商,供应商和关键供应链合作伙伴达到或超过这些标准,作为既定业务协议的一部分。”威胁研究中心。

埃森哲提出类似的建议:“各组织应例行寻求对其威胁状况和供应链脆弱点的全面了解。[他们应该]通过将网络威胁情报整合到并购和其他具有战略意义的行动中,将供应商和工厂测试纳入其流程中,并实施以行业为中心的法规,来尝试改进防范现代全球业务运营中固有的网络安全风险的流程。和风险评估标准。”