復雜的供應鏈有復雜的安全性要求，想要確保供應鏈的安全就要盡可能地做到這些。

左右兼顧

將供應鏈安全視為組織內(nèi)部的事情，這是一個非常局限且危險的假設。Tripwire 的產(chǎn)品管理與策略副總裁 Tim Erlin 表示“當考慮保護供應鏈安全時，必須同時考慮上游與下游。向我們提供產(chǎn)品的供應商和我們作為供應商提供產(chǎn)品的客戶都應該在供應鏈安全的考慮范圍內(nèi)”。

因為涉及到供應鏈的上下游，首先就要知道供應鏈鏈接了哪些組織。Erlin 表示“理想情況下，應該能夠識別、處理與組織打交道的任何組織都有權訪問的數(shù)據(jù)”。

關于 API 安全性的討論有很多，大多數(shù)都集中在組織或者供應商的 API 上。同時也應該注意客戶要求使用的 API 和服務，保證整個供應鏈的安全性。

合同優(yōu)先

供應鏈中任何環(huán)節(jié)發(fā)生問題，產(chǎn)生的后果和責任都會在上下游帶來很大的影響。KnowBe4 的安全意識倡導官 James McQuiggan 表示“如果第三方遭受數(shù)據(jù)泄露或攻擊，雙方之間的合同應該確定數(shù)據(jù)泄露以及為支持該類事件而進行的程序”。原因很簡單，因為失敗可能會給組織帶來更大的風險和損失。

盡管合同和協(xié)議傾向于考慮已知威脅與事件，但也可以對新威脅的響應過程和程序做出安排。一些業(yè)務部門必須具有承擔合同中的法規(guī)或法律責任的義務。例如，美國國防部發(fā)布的網(wǎng)絡安全成熟度模型認證（CMMC）框架，在未來所有國防部合同中強制規(guī)定了相應條款。國防部的主承包商和分包商必須滿足所有國防部合同要求的 CMMC 成熟度水平，否則會被取消競爭資格。

關鍵行業(yè)中，快速響應的能力尤為重要。NCC 區(qū)域總監(jiān) Jeff Roth 解釋說“醫(yī)療服務提供商，從實體到商業(yè)伙伴，都在進行電子化。在快速提供病患所需數(shù)據(jù)的同時還要保證數(shù)據(jù)交付服務的安全性，這是一個具有挑戰(zhàn)性的工作”。

了解數(shù)據(jù)

在供應鏈上下游保護數(shù)據(jù)很重要，但如果不知道共享哪些數(shù)據(jù)就無法進行保護。尤其是只有設備彼此交換數(shù)據(jù)，將人排除在外時。

“物聯(lián)網(wǎng)設備通常是關鍵，很少有設備是孤立存在的，而物聯(lián)網(wǎng)的互聯(lián)網(wǎng)組件也反映了這種依賴性”，信息安全論壇的管理總監(jiān) Steve Durbin 如是說?！爸悄芑枰鄠€設備協(xié)同工作，通常需要數(shù)量很多的設備作為輸入”。

現(xiàn)在的自動化流程可能需要 IT、OT 甚至消費類設備的參與，而不同類型的設備都有不同的安全需求。了解系統(tǒng)之間的數(shù)據(jù)流是進行安全防護的一部分。

牢記流程

將安全問題限定在供應鏈技術和基礎架構是很自然的，但是要記住操作流程也會對安全產(chǎn)生影響。Vectra 的 Morales 表示“風險通常也與操作流程有關，而不是只和代碼中的缺陷或漏洞有關”。

善用審查

無論對供應鏈有多大的信任度，確保處理和移動數(shù)據(jù)時采取了必要的保護措施都是至關重要的。KnowBe4 的 McQuiggan 表示“組織需要對所有具有遠程訪問權限或提供電子產(chǎn)品的供應商進行審查和年檢”，“信任但驗證的概念包括有關產(chǎn)品開發(fā)生命周期的第三方網(wǎng)絡安全政策的審查，這是了解產(chǎn)品漏洞的良好開始”。

Positive Technologies 的信息安全分析主管 Evgeny Gnedin 認為“對供應鏈攻擊來說，最危險的是攻擊者可能在很長一段時間內(nèi)都不會被注意到，而且攻擊本身也很可能會成功”。同時，Gnedin 指出多個成功的供應鏈攻擊的示例，從針對華碩的 Rowhammer 到 NetPetya 和 Magecart 等?！巴ㄟ^轉(zhuǎn)向供應鏈攻擊，使犯罪分子大大擴展了受害者的范圍。”

小也重要

在某些情況下，供應鏈中大型組織的安全雖然處理相對麻煩，但是往往能夠提供資源從政策的指定到具體實施來保障安全。小公司則缺乏專業(yè)知識和相關資源。NCC 的 Roth 提出了一些具體的建議：

重點關注與每個特定關鍵供應商相關的實際風險和相應的安全管控措施。小型供應商可以掌握風險，而不會產(chǎn)生超出這些小型供應商承受能力的問題

構建安全的基礎結構，減少服務提供商的攻擊面

針對高風險和中風險的小型供應商進行重點網(wǎng)絡安全培訓

定期監(jiān)控和反饋，進一步幫助小型供應商合規(guī)

高層意識

首先將風險機進行歸類：

業(yè)務風險

操作風險

市場風險

人員風險

法規(guī)風險

供應鏈給組織帶來的風險既可以是戰(zhàn)略性的也可以是戰(zhàn)術性的。Digital Shadows 的 Guirakhoo 表示“當組織依賴大量第三方，從而大大增加潛在攻擊面，這甚至會更加困難”。所構成的風險可能是戰(zhàn)略關系和伙伴關系的問題，使高級管理層意識到問題的嚴重性并將其納入決策過程以進行響應和補救。

關注云端

“現(xiàn)在許多重要數(shù)據(jù)都存儲在云上，這為犯罪分子提供了機會。通過攻擊云端可以破壞整個供應鏈的安全并摧毀關鍵信息基礎設施”。

軟件和服務基本上由現(xiàn)有軟件、服務和模塊構建而成，從而依賴和嵌套的產(chǎn)品越來越深。Accurica 聯(lián)合創(chuàng)始人兼首席執(zhí)行官 Sachin Aggarwal 表示“許多云基礎架構和 SaaS 應用都由許多組件構成，通常都包含開源產(chǎn)品”，“例如，Amozon Web Services 使用 Linux、Java、Kubernetes、Xen 和 KVM，這些組件具備成本優(yōu)勢，但會帶來安全風險，組織需要關注并減輕這些風險”。

確定和審查軟件供應鏈中每個組件的安全性以及云端的供應鏈安全是一項龐大的工程，但這也是確保組織供應鏈安全必不可少的一部分。