上篇介绍了供应链安全的政策和问题，本篇会针对这些问题讨论相关建议和应对方法。

聊聊供应链安全：政策与问题

建议方法

供应链就是以合适的价格、地点和时间为顾客提供他们需要的资源。供应链安全是一个多学科的问题，需要业务、客户支持和IT之间的密切协作和执行，这有其自身的挑战。

对正在交付的产品或服务的完整性、正在交换的数据的隐私性以及相关交易的完整性的任何中断和风险都可能造成破坏性的运营、财务和品牌影响。来自内部人员或攻击者的数据泄露、勒索软件攻击和恶意活动可能发生在供应链的任意环节。即使是本地化到单个供应商或第三方供应商的安全事件，也可能严重扰乱计划、制定和交付过程。供应链的强大程度取决于其最脆弱的实体。

供应链是一个日益复杂的全球网络，由大量且不断增加的第三方合作伙伴组成，这些合作伙伴需要访问数据，并能够控制谁可以看到这些数据。今天，工作人员和预算面临新的压力和限制，以及战略、合作伙伴和供需结构的不可预见的迅速变化，进一步增加了的挑战和紧迫性。与此同时，更有知识和社会意识的客户及员工要求他们购买或支持的产品和服务具有透明度和可见性。每一个接触点都增加了一个需要评估、管理和缓解的风险元素。

供应链安全管理主要涉及五个方面

数据保护。数据是商业交易的核心，必须在静态和运行中保护并控制数据，以防止违规和篡改。安全的数据交换还包括信任其他来源，无论是第三方还是电子商务网站。确保与你互动的人是他们声称的那个人至关重要。

数据本地化。关键数据存在于供应链的所有环节，无论位于何处，都必须进行定位、分类和保护。在监管严格的行业(如金融服务和医疗保健)中，数据的获取、存储、管理、使用和交换必须遵循行业标准和政府规定，这些标准和规定因业务所在地区的不同而各不相同。

数据可见性及治理。多企业业务网络不仅方便企业间的数据交换，而且允许多个企业访问数据，以便查看、共享与协作。参与的企业需要对数据进行控制，并能够决定与谁共享数据以及每个受权方可以查看的内容。

欺诈预防。在单一的订单到现金周期中，数据会转手无数次，包括纸质和电子。数据在各方之间交换或在系统内转移的每一环节都有可能被篡改——恶意或无意的篡改。

第三方风险。日常产品和服务——从手机到汽车——正变得越来越复杂。因此，供应链往往依赖四层或更多层的供应商来交付成品。这些外部因素中的每一个都可能使组织面临新的风险，这取决于它们正确管理自身漏洞的能力。

第三方安全管理

组织的攻击面在不断增长。当将IT系统的大部分外包给第三方时，他们的攻击面将添加到组织的攻击面中。此外，组织中可能一直有人与外部提供商保持联系，所以通常情况下，甚至不清楚攻击面都包含了什么。

因为与第三方共享数据，所以必须像了解自己一样了解它们的安全性。管理你的第三方的安全更为重要。

云应用的增加。根据McAfee的一份报告，平均每家机构使用的云服务比去年增加了15%。此外，云上共享的敏感数据量同比增长53%。预计在十年内，90%的IT将不会花费在IT组织上。

远程办公。许多已经转向在家办公的公司面临着越来越多的网络安全挑战，包括技术和人员风险。他们的第三方也同样如此。

第三方数据泄露。根据Ponemon的报告，59%的组织经历过第三方造成的数据泄露。这些违规行为的后果可能是灾难性的，也许因此让消费者失去信心和忠诚度，以及面临高昂的罚款，甚至可能导致破产。

新法规。《GDPR》《CCPA》和《纽约保护法案》等数据隐私法规要求企业确保客户数据的隐私和安全。第三方的违约行为可能会对与其相关的组织造成重大的经济损失。

第三方安全评估

大多数组织使用两种工具来评估其第三方的安全性：安全问卷和安全评级服务(SRSes)。然而，每种方法本身都有问题。

安全问卷

问卷缺乏上下文关联。安全问卷通常包含数百个问题，其中许多问题与第三方不相关。例如，开发软件的供应商应该完成与提供基于云基础设施的第三方不同的调查问卷。

问卷调查无法规模化。手工向每个第三方发放问卷比较耗时。与第三方进行跟踪，以确保他们及时完成问卷调查，手工审查问卷可能需要很多资源。如此漫长的过程阻碍了业务支持和快速加载第三方的能力。

问卷只在有限时间内有效。问卷的答案可能只在问卷完成时有效。因为新技术一直被引入，第三方可能在一个月完全安全，下一个月就不安全。

安全评级服务

SRSes提供了一种有限的网络态势视角。虽然它可以很好地评估第三方的外部攻击面，但不能确保第三方遵守内部安全策略和实践。本质上，使用SRS只是冰山一角：一个组织不能仅仅通过外部扫描就可以了解网络态势的整体情况。

供应商只想达成项目，交付收钱。安全检查需要时间和精力，往往要第三方来修补漏洞，而他们可能没有足够资源或意愿去做这件事。出于种种原因，许多第三方将安全评估视为业务阻碍，总能想出各类借口来规避。一些常见的借口比如：

问卷太长了

问卷和我们的业务无关

总也问不到对口的人

我不知道你说的是什么意思

我反对，这不是我的资产

你发现这个问题，我们不知道该怎么处理

该如何应对

自动化是全面的第三方安全流程的关键。它提供了快速扩展的能力。

上下文：对于组织来说，识别其每个第三方关系的风险相关特征很重要。企业应该提供上下文数据，第三方将处理什么，是多关键的业务,数据如何流动,它被用于什么,谁将获取, 第三方是否与云服务提供商等分包商有业务往来？

可见性：为了有效地评估第三方安全性，组织应该将外部网络态势扫描与问卷相结合，这样可以验证内部安全策略。例如，如果一家公司声称它符合PCI标准，但在传输过程中没有对通信进行加密，这就表明存在问题。此外，应持续监控第三方，并制定具体政策，包括发现网络问题时应采取的措施。

参与度：为了实现业务，重要的是与第三方合作，使安全流程尽可能顺利。问卷应根据上下文联系进行调整，这样就无需回答无关问题。应向第三方提供调查结果和明确的、可操作的补救计划，以及关于如何确定网络态势差距的可见性。组织应该设定现实中的期限（节点），并提供直观的沟通方法。总之，组织和第三方应该建立一种合作的业务关系。

构架自己的流程

创建或希望升级第三方安全程序的组织可以考虑以下方式：

识别利益相关者。了解谁是内部伙伴很重要。他们可能包括企业股东、法律和采购团队以及安全专家。

为提供商组合定义等级。对所有的第三方有一个全面的列表，然后根据每个关系的固有风险进行分级。固有风险是指基于临界性的风险，这意味着组织在没有供应商的情况下可以运行多长时间；整合数据风险，这意味着组织与供应商共享的数据是多重要或敏感。

为每一级定义关键标准。一旦确定了第三方的等级，就必须为每个级别建立安全策略。该策略应包括如何评估每个级别、多久重新评估、持续监控的阈值、警报管理流程以及对供应商应如何响应的期望。

关注那些不重视的提供商。建立一个流程，如何处理与第三方产生的网络问题。组织是否补救、实施内部控制或终止业务关系？这些是必须解决的问题。

丰富情报

最有效的程序会利用网络情报帮助决策。

第三方攻击面扫描

第四方检测

业务情报反馈

如果供应商正在切换到远程办公，新的安全评估可能是必要的。此外，可以定期审议后续问题清单并审查，同时进行有效的持续监测。通过实施正确的步骤，可以将第三方安全程序提升到下一级别。

随着组织继续依赖于第三方，对有效的第三方安全流程的需求也在增长。通过这些步骤，可以确保组织的安全程序是可扩展的、高效的和全面的。

供应链安全建议

供应链安全需要多方面考虑。没有万能方案，但是组织可以用分层防御的组合来保护供应链。由于专注供应链安全的团队使威胁参与者更难实施攻击，因此获得了更多的时间来检测恶意活动并采取行动。这里是一些组织追求管理和减轻供应链安全风险的重要战略。

安全战略评估。要评估风险与合规性，需要针对业务挑战、需求和目标评估现有的安全治理框架——包括数据隐私、第三方风险和IT法规合规需求及差距。安全风险量化、安全开发、法规和标准合规性以及安全教育和培训是关键。

漏洞修补与渗透测试。通过漏洞扫描来识别基本的安全问题。修复不当的数据库配置、密码策略、消除默认密码并保护终端和网络可以立即降低风险，同时将对生产率或停机时间的影响降至最低。通过网络钓鱼模拟和红队，聘请渗透测试专家发现新旧应用、供应链基础设施以及人的所有方面的漏洞。

数字化与现代化。如果在商业交易中仅仅依靠纸质、电话、传真和电子邮件，那么数据的安全就很难保障。重要手工流程的数字化是关键。技术解决方案可以从基于手工、纸质的流程切换，并将安全性、可靠性和治理带到工作事务中，为企业内部以及与客户和交易伙伴之间的安全数据移动提供基础。随着业务流程和软件的现代化，可以利用加密、标记化、数据防泄漏以及文件访问监控和预警，并为团队和合作伙伴提高安全意识并开展培训。

数据识别与加密。数据保护程序和策略应包括使用发现和分类工具来识别包含受保护的客户信息、财务数据和专有记录的数据库和文件。一旦定位数据，使用最新的标准和加密策略保护所有类型的数据，包括静态和动态的客户、金融、订单、库存、物联网、健康等数据。对传入的连接进行验证，并实时检查文件内容。当通过互联网进行交易时，数字签名、多因素认证和会话中断将提供额外的控制。

数据交换与可见性权限控制。多企业业务网络使用基于用户和角色访问的工具，确保战略合作伙伴之间安全可靠的信息交换。身份和访问管理安全实践对于在广泛的生态系统中安全地共享专有和敏感数据至关重要，同时发现和减轻漏洞降低了不当访问和破坏的风险。数据库活动监视、特权用户监视和警报为快速捕获问题提供了可见性。将区块链技术添加到多企业业务网络中，可以提供可授权、不可更改的共享多方可见记录，从而促进整个价值链的信任。

可信、透明与溯源。在区块链平台上，一旦数据被添加到分类帐中，它就无法被操纵、更改或删除，这有助于防欺诈、验证来源和监控产品质量。来自多个企业的参与者可以跟踪材料和产品从源头到最终客户或消费者。所有数据存储在区块链账本中，用最高级别的商业防篡改加密保护。

第三方风险管理。随着公司与第三方之间的联系和相互依赖在供应链生态中不断增长，组织需要扩展供应商风险管理的定义，以涵盖端到端安全。允许公司评估、改善、监控和管理整个关系生命周期的风险。首先，将自己的业务和技术团队与合作伙伴和供应商聚集在一起，在违反法规、系统关闭或数据泄露等方面识别关键资产并对业务运营的潜在损害进行讨论和定义。

事件响应计划与编排。提前为入侵、关闭或中断做好准备，并拥有稳健的事件响应计划很重要。通过实践、测试和易执行的响应计划和补救措施，防止损失、声誉损害以及合作伙伴和客户流失。情报和计划提供度量标准和知识，组织与合作伙伴可以使用它们来制定决策，以防止攻击或事件再次发生。

供应链安全将继续向更加智能转变。例如，解决方案已经开始融入人工智能，通过识别表明未授权访问的异常、模式和趋势，主动检测可疑行为。人工智能提供的解决方案可以向人工响应发送警报，或自动阻止访问尝试。

来源：腾讯安全天幕团队