2022年四大供应链的安全威胁和风险管理的5大最佳实践

SolarWinds 供应链攻击凸显了供应链对网络攻击的脆弱性。供应链风险缓解已成为风险管理战略和信息安全计划的重要组成部分。为了支持这项工作的成功,我们列出了 2022 年您需要注意的 4 大供应链安全风险。这些安全风险应在事件响应计划中得到解决,以防止安全漏洞助长第三方数据泄露和供应链攻击。

2022年四大供应链的安全威胁和风险管理的5大最佳实践-南华中天

2022 年四大供应链安全威胁

安全威胁包括对敏感数据和数据保护的完整性产生负面影响的任何暴露和网络威胁。2022年最流行的引发供应链安全担忧的安全管控隐患如下。

第三方供应商风险

第三方风险通常会给您的组织带来重大的数据安全风险。这通常是由于安全策略薄弱而导致的安全实践不佳。

影响供应链网络安全的不幸现实是,您的第三方供应商可能不像您那样重视网络安全。

数字风险

数字风险是数字化转型不可避免的副产品——你添加到生态系统中的数字解决方案越多,网络犯罪分子拥有的潜在网络网关就越多。这些暴露可能是由软件漏洞引起的,例如零日漏洞利用或被忽视的配置错误。

如果不加以解决,数字风险可能会发展为以下供应链威胁:

  • 勒索软件攻击
  • 安全漏洞
  • 恶意软件感染
  • 流程中断
  • 知识产权盗窃
  • 不遵守监管安全标准(尤其是对医疗保健行业不利)。

供应商欺诈

供应商欺诈或供应商欺诈是指自称是已知零售商的网络犯罪分子要求更改其支付流程。这些事件很难识别,因为欺诈者通常采用先进的社会工程技术,包括人工智能生成的语音邮件和 Deepfake 视频记录。

影响全球供应链安全的欺诈事件不仅限于供应商类别。越来越多的数据泄露事件是由第三方供应商成为各种社会工程和欺诈策略的受害者造成的。

自大流行期间突然流行以来,欺诈行为仍在上升。根据联邦贸易委员会的数据,2021 年美国人因欺诈损失超过 58 亿美元,自 2020 年以来增加了 24 亿美元。

2021 年排名前 5 位的欺诈类别是奖品、抽奖、彩票、互联网服务以及企业和工作机会。

数据保护

整个供应链的数据完整性是安全问题的一个重要领域。安全措施应确保所有数据状态都是安全的,包括静止和动态。数据加密实践在第三方集成之间尤为重要,因为黑客知道目标的第三方供应商可能可以访问他们的敏感数据。

2022年四大供应链的安全威胁和风险管理的5大最佳实践-南华中天

2022 年供应链风险管理 5 大最佳实践

通过实施以下最佳实践,可以解决供应链中常见的网络安全风险。

1. 第三方风险评估

定期的第三方风险评估计划将在网络犯罪分子利用它们之前发现供应链安全风险。理想情况下,这些评估应该是完全可定制的,以适应每个供应商的独特风险状况。除了可定制的风险评估外,还提供与流行的网络安全框架的评估映射,以确保供应商不断改善其安全状况。

2.数据加密

为了在第三方泄露的情况下降低敏感数据的价值,应对所有形式的数据实施加密做法,尤其是在第三方集成的接口处。理想情况下应实施高级加密标准 (AES)。它被认为是最难破解的加密类型之一,这就是政府和军方普遍使用它的原因。

3. 攻击面监控

攻击面监控解决方案将识别第三方安全风险,增加您遭受供应链攻击的机会。攻击面监控解决方案可以发现跨第三方甚至第四方网络的云解决方案的安全漏洞。

4. 事件响应计划

如果发生供应链攻击,您的反应应该有计划和协调,而不是零星和缺乏策略。精心设计的事件响应计划应该可以帮助您的安全团队为每个供应链攻击场景做好准备,同时将对业务连续性的影响降至最低。

5. 渗透测试

供应链攻击绝不应该是第一次执行事件响应计划。应对策略应通过渗透测试进行常规评估。渗透测试还可以发现安全系统忽略的高级供应链安全威胁。