新冠疫情流行、俄乌冲突、英国脱欧、供应链不平衡等最近发生的不寻常事件，给全球供应链带来了前所未有的挑战。这些供应链事件的规模之大，前所未有的受到了主流媒体的关注。无论是石油天然气、日常必需品还是重要的医疗用品，人类的生活在多大程度上都依赖于供应链的平稳运行。

卡巴斯基最新《供应链网络安全潜在威胁及挑战》调查报告显示，在供应链危机期间，有30%的组织遭受网络攻击的数量有所增加。供应链攻击通过渗透或攻击位于其供应商链中的企业来针对组织。如果其中一个实体的网络安全威胁防护能力较低，或者正在避免某些特定的网络安全卫生协议，就可能成为进入更广泛的供应商网络的入口点。风险可能有很大差异，并增加了公司威胁面的复杂性。

社会对供应链的依赖无疑已经引起了威胁行为者的注意，这些行为者无论出于何种动机，都破坏并造成了经济损失。全球供应链的相互联系为网络犯罪分子提供了一个有吸引力的目标，如果可以在供应链社区中轻松传播，则可能会产生巨大影响。

贸易数量的剧烈波动带来了挑战和机遇，但无疑给企业带来了额外压力。随着对服务需求不断增加，许多企业现在急需招聘。新员工的涌入不可避免地会带来风险，从操作和安全培训到网络卫生培训和维护安全系统。

2021年3月苏伊士运河的堵塞是一种不受欢迎的干扰，这不仅表明了随之而来的运营挑战，而且也表明了许多供应链的潜在脆弱性。六天封锁的经济影响估计为数十亿美元，随着事件在主流媒体上报道，单个关键点的严重性变得显而易见。

存在压力的同时，在网络风险的背景下不应自满。在过去的两年中，许多人面临生存挑战，并将相应地转移注意力和资源。然而，网络风险继续蓬勃发展，供应链越受关注，目标就越有吸引力。

当今世界建立在数字连接网络之上，每次互动都是网络犯罪分子的潜在机会。2021年，网络犯罪分子利用组织孤岛、远程工作人员和供应链危机来破坏关键系统的安全性，新冠疫情流行加速了网络攻击的复杂性和严重性。供应链和第三方风险成为头条新闻，SolarWinds和Colonial Pipeline攻击表明，威胁行为者可以通过破坏供应链中的单个环节来攻击大量组织。

德勤首席信息安全官Jitender Arora表示，“网络攻击正变得越来越复杂，合作是赢得与组织严密、资金充足的攻击者的战斗的关键。首席信息安全官可能认为，通过建立适当的控制和生态系统，在保护组织方面做得很好，但攻击者正处于一个非常不同的有利位置，并专注于供应链中最薄弱的环节。”

无论组织的安全性有多强，供应链中的任何薄弱环节都可能使企业陷入困境。在当前形势下，各种规模和行业的公司都未能给予网络安全应有的关注。虽然只有不到四分之三(72%)的人将网络安全威胁置于新冠疫情流行恢复之上，但令人担忧的数字表明，他们对自身和第三方供应链的网络安全感到自满。

各类规模的公司都不能自满。随着组织专注于克服与供应链相关的挑战，例如卸载集装箱船和管理劳动力短缺，同时最大限度地降低成本，网络攻击者一直在利用超连接的数字供应网络来发明新的攻击媒介。

新冠疫情和对供应链的连锁反应已经改变了网络威胁格局，组织采取措施应对这些新挑战至关重要。公司应确保仅与可靠的第三方共享数据，并将现有的安全要求扩展到供应商。

随着新冠疫情逐渐缓解，建议全球供应链中的参与者重新评估其网络风险政策，满足自身利益，有足够的资源来解决这个威胁。面对网络风险时的应变能力对于保护业务和系统以及合同合作伙伴的业务和系统至关重要。不应低估网络犯罪分子的敏捷性、专注性和高度复杂性，对全球供应链中的企业构成重大威胁。

对此，卡巴斯基与货运保险公司TTClub联合发布了《供应链网络安全潜在威胁及挑战》，旨在帮助技术供应商、服务提供商、组织和安全专业人士了解不断增长的供应链威胁形势，还提供了有关保护和缓解潜在网络安全漏洞和第三方供应链漏洞的建议。

一、主要发现

在2021年11月和2021年12月期间，卡巴斯基与货运保险公司TT Club委托Arlington Research调查了240名高管、中层管理人员和高级管理人员，包括网络安全、IT和信息安全的决策者。调查发现：

72%的组织担心网络安全威胁，比新冠疫情恢复(67%)和原材料成本上升(64%)更为担心；

只有三分之一的组织(33%)强烈同意他们在内部拥有应对网络安全事件所需的所有必要资源和知识，只有35%的受访者“强烈同意”他们“已采取一切可能的措施来缓解组织面临的第三方对风险”；

16%的组织在供应链危机期间降低了网络安全的优先级，尽管30%的组织报告过去12个月的攻击有所增加；

不到五分之二的决策者(39%)强烈同意，他们信任IT安全提供商在发生网络安全事件时能够帮助他们的组织；

只有五分之一(20%)的组织拥有第三方风险管理保险，而只有18%的组织拥有网络/业务弹性保险，尽管30%的组织表示他们在过去12个月内遭受了更多的网络攻击；

五分之二(39%)的组织相信他们的企业拥有足够的最新硬件和软件IT安全保护；

只有五分之二的IT安全决策者强烈同意他们在签订合同之前仔细审查任何新供应商或合作伙伴组织的IT安全，但只有20%的受访组织拥有第三方风险管理解决方案；

五分之三的组织认为他们永远不会与遭受数据泄露的企业合作，这突显了数据安全对于未来商机的重要性。

二、供应链风险

在任何行业，如果供应链的薄弱环节被利用，企业就会陷入困境。一个地方的漏洞可能会对其他地方产生重大影响，无论是通过泄露的个人身份还是支付凭证。网络攻击会导致重大经济损失、知识产权盗窃、心理困扰、服务和资产中断、以及基础设施风险。这种影响会严重损害公司的声誉。

英国国家网络安全中心(NCSC)表示，仅去年一年，英国就遭受了创纪录数量的网络攻击，包括针对供应链的攻击。11月，GCHQ机构发布了年度报告，在过去12个月中处理了前所未有的777起事件，高于前一年的723起。

NHS供应链面临越来越多的网络威胁。医疗服务的采购过程既复杂又庞大，网络犯罪分子通常会采取最简单的攻击方式，而这个薄弱环节通常存在于供应链中。

NHSX运营主管Paul Barnes表示，“NHS拥有非常广泛的供应链，因此在数字世界中确保其安全并不是该行业的可选额外措施，这是一项核心要求。如果我们的供应商之一受到威胁，无法提供服务，生命就可能面临风险，并可能造成致命后果。我们使用数据安全保护工具包(DSPT)来防范供应链风险，该工具包需要基线技术安全标准，并围绕人员、流程和技术制定10项安全标准，以帮助引导信任。该工具包是一种在线自我评估工具，可让卫生和社会保健组织确保他们进行良好的数据安全并正确处理个人信息。”

在调查中，近四分之三(72%)的公司认为网络安全威胁是最关心的问题，但只有三分之一(33%)的公司强烈同意他们拥有必要的内部资源和知识来应对网络安全事件，只有35%的受访者强烈同意他们已采取一切可能的措施来降低组织中的第三方风险。令人担忧的是，不到五分之二的决策者(39%)强烈同意他们信任IT安全提供商在发生网络安全事件时提供帮助。

三、供应链风险对未来业务的影响

两年前自从疫情流行以来，供应链受到严重影响。随着病毒传播到全球，破坏变得更加普遍，物流渠道需要快速改造，供应商无法满足合同条款，制造工厂因零部件短缺而关闭。

英国脱欧导致使企业将注意力从网络安全转移到实体供应链问题上，例如重型货车卡车司机短缺和物流。在努力满足物理供应链不断变化的需求时，组织是否已经将注意力从网络安全上移开，并冒着进入潜在灾难的风险？

一旦网络犯罪分子渗透到一个组织中，就可能会一次次地造成破坏，是一种影响供应商、买家、甚至消费者的多米诺骨牌效应。然而，研究也突显了企业和中小企业对网络安全的自满程度令人担忧，超过一半(57%)的受访者担心供应商或合作伙伴组织的不稳定性。

大多数受访者表示，鉴于当前的供应链危机，网络安全已成为更优先考虑的事项，但令人担忧的是，在过去12个月中，有16%的人已不再重视网络安全。

网络攻击和数据泄露在声誉受损、补救成本、业务损失和其他费用方面可能对组织造成严重伤害。调查发现，五分之三的组织认为他们永远不会与遭受数据泄露的企业合作，这突显了数据安全对未来商业机会的重要性。

然而对于少数组织来说，供应链风险可能会影响他们的底线，因为可能会错过新业务的消息并没有得到传达，17%的组织表示他们不希望在赢得新业务时被质疑安全资质。

国家网络安全中心(NCSC)建议要求供应商提供适当的证据，证明其安全状态，以及在合同竞争的各个阶段满足其最低安全要求的能力。例如在最初的合同中，寻求其供应商满足法律和监管要求的能力的基本保证，但随着竞争缩小到选择少数优先投标人，需要更多细节。

Revolut Bank威胁情报主管Vladimir Krupnov表示，“如果你与一个实体有任何类型的信任关系，你就有第三方风险。风险可能来自供应商、租用办公室的公司、软件供应商、员工手机上的应用程序等等。企业在进行第三方风险评估时，面临的最大挑战之一是，他们倾向于使用针对其个人需求量身定制的框架。建议组织内的所有部门参与该流程，以帮助识别供应链风险。例如，财务团队可以检查供应商是否存在认证、洗钱和欺诈行为，而营销和传播团队可以寻找任何负面新闻。可以要求进行初始渗透测试，以评估基础设施的安全级别，如果想更进一步，可以进行全面审计。”

四、如何发现及防供应链攻击

缺乏安全措施或安全措施不到位会大大增加发生网络攻击的风险。供应链攻击通过渗透或攻击第三方供应商来攻击组织。如果其中一个实体的网络安全威胁防护能力较低，可能成为整个供应链的入口点。风险可能有很大差异，并增加了公司威胁面的复杂性。

与网络攻击相关的可能影响因供应链中的不同参与者而异。有些特定行为可能会增加企业对网络攻击的脆弱性，包括但不限于整体互联网或IT安全措施薄弱、密码策略不佳、软件无法保持最新、系统监控不力、和访问控制不足。缺乏或安全措施不足会大大增加发生网络攻击的风险。

德勤首席信息安全官Jitender Arora表示，“大型组织可以向那些擅长自己的工作但在安全性方面不是最好的中小型企业提供帮助、建议和指导，以支持他们的需求并提高控制水平。全球化的攻击者非常安静且高度组织化，我们需要联合起来，且更有条理。我们真正可以帮助我们的供应链和第三方供应商，尤其是中小企业，我们可以分享我们的最佳实践来支持他们。”

五、供应链网络犯罪

全球约90%的贸易通过海运运输，再加上新冠疫情带来的物流挑战和网络犯罪的新趋势，网络安全在供应链中的重要性从未如此重要。

供应链不可避免地成为黑客的一个有吸引力的目标，因为多个司法管辖区的众多参与者将使用通用软件应用程序，因此一旦软件在一个实体中受到损害，就有可能在全球范围内暴露出一系列企业的漏洞。

近年来，人们对整个海运供应链的脆弱性的认识不断提高。国际海事组织(IMO)在现有的国际安全管理(ISM)规则的范围内强制实施网络风险管理。然而这种对网络安全纯海事方面的必要关注不应被视为灵丹妙药。海事行业对计算机的依赖及其在该行业内日益增强的互连性使其极易受到网络事件的影响。网络对航运业的所有部分均构成威胁。

仅去年一年就展示了多个漏洞，每个漏洞都可以通过网络事件加以利用。对新冠疫苗供应链的威胁仍然是人们关注的焦点，苏伊士运河堵塞的影响和持续的大流行风险也是如此。

1、什么是供应链网络风险？

网络风险可以定义为因电子系统和技术网络故障而造成损失或中断的风险。在实践中，黑客非法入侵信息技术(IT)或运营技术(OT)系统，从而可能禁用控制、干扰活动或发布、修改或破坏数据。

在海事领域，这种网络攻击可能包括射频（RF）域，这意味着全球导航卫星系统（GNSS）和自动识别系统（AIS）干扰和欺骗都是可行的攻击方法，这对航行和安全通行具有重要意义。

同样，港口基础设施中使用的码头操作系统，例如货物装卸设备，同样容易受到潜在的破坏。新冠疫情引起的混乱和远程工作的增加只会增加欺诈的风险。

2、最新威胁

网络犯罪分子的方法越来越复杂。勒索软件攻击比以前更有针对性，网络犯罪分子不再采取随机攻击方法，网络犯罪分子可以使用的工具正在激增。

威胁行为者根据需求针对目标量身打造更有针对性的攻击。以前攻击者可能会提一个简单的请求，例如要求500美元的比特币来重新获得对系统的访问。然而现如今，勒索需求与公司的营业额保持一致，更高的赎金要求是根据拒绝服务的可能价值、营业额和支付的现金储备来评估的。

改变方向。在勒索软件攻击过去涉及简单的拒绝服务的情况下，攻击者现在可能会通过增加威胁来增加风险，不仅拒绝访问，而且在暗网上发布或出售敏感数据。

管理网络安全的第三方服务提供商本身已成为网络犯罪分子的目标。据调查，28%的托管服务提供商(MSP)报告称，2020年12月披露的针对MSP软件提供商的大规模供应链攻击在某种程度上影响了他们的组织，还对大多数MSP产生了更广泛的影响。总体而言，72%的提供商对攻击采取了行动，即使他们没有受到影响。针对IT服务生态系统的此类安全事件和其他安全事件突显了跨MSP提高网络安全的必要性，包括内部保护和为客户提供的专业安全服务。

除了明显的经济利益动机外，还有大量证据表明，鉴于全球供应链的固有属性，即促进跨国贸易的系统和流程，被利用来进行非法贸易，主要是围绕毒品和人贩卖。

近几个月来，世界上大多数国家的公众对全球供应链的认识都有所提高，无论是通过屏幕上的媒体还是商店货架上的空白。许多人还注意到最近涉及美国燃料供应商Colonial Pipeline的勒索软件攻击，这有效地关闭了他们的供应系统。

由于对国民经济的影响，这种公众意识在全球供应链中变得更加复杂。随着更具破坏性的网络活动的可行性增加，无论是由犯罪分子还是更邪恶的国家行为者发起，所有利益相关者都必须为不可避免的情况做好准备，并建立抵御不断演变的网络威胁的能力。

现实情况是，所有企业都容易受到Colonial Pipeline事件的影响，这很可能是由于员工未能发现网络钓鱼电子邮件并启动恶意链接造成的。

六、缓解措施

确定供应商。对于任何组织来说，这是最重要且经常被忽视的一步。盘点从哪里购买产品和服务，以及组织在供应链中所处的位置，这样就可以绘制潜在风险地图。

确定需要保护的内容。通过供应链受到攻击通常意味着使用了一段时间的服务或程序已受到损害。必须保护每台可以访问互联网的商业设备，包括计算机、服务器、手机等。虽然应该保护网络免受机会主义的、易于货币化的网络犯罪攻击，但部署技术也很重要，该技术将提示希望破坏系统以进行网络间谍活动的威胁行为者的早期入侵迹象。

识别组织面临的风险。考虑可能为攻击者提供进入组织的入口点的潜在漏洞，包括政策和流程以及技术。此外，这必须包括无法直接控制的事物，即第三方提供的产品和服务。这可能是应用程序、系统上运行的代码、以及第三方可能对网络进行的远程访问。

评估供应商的流程和安全性。应该对供应商的网络安全证书、风险管理计划、以及是否以同样的方式审查供应商进行全面审核。这将提供一个很好的风险指标，以及应该仔细管理哪些流程。

采取行动。制定稳健的事件响应计划，配备准备充分且敬业的团队和明确的目标。这还应该包括一个关键的风险缓解步骤，以防发生攻击。

参考资源：

【1】Kaspersky, Supply Chain CyberSecurity Potential Threats and Risking to the Challenge, February 2022