供应链安全形势严峻，统一风险管理标准迫在眉睫

你是否能确保你的服务器和设备中关键部分的质量过关，是否为在关键时刻出问题做好了预防准备，又是否能保证其中没有隐藏恶意攻击的软件，如击键记录、数据盗窃或破坏等。

除了像英特尔透明供应链这样的前沿技术外，保护在全球联系密切的卖家、买家和合作伙伴免受此类威胁是很困难的。如今，像通用电气这样的领导者正在采用新的风险管理方法，提供组件级别的可跟踪性和认证。

然而，许多企业和供应商在防范或检测供应链网络风险方面却依然准备不足。他们不能及时地发现暴露在他们的组织和合作伙伴面前的数据丢失和大范围破坏。

不断恶化的形势

两年前，信息安全论坛（ISF）的总经理Steve Durbin警告说：“当我寻找可能缺乏信息安全的关键领域时，我总会把目光放在供应链上。”一项被广泛引用的研究发现，16%的公司购买了假冒的IT设备。

从那以后，情况变得更糟了。最近一项针对1300家公司的全球调查发现，90%的公司对供应链网络攻击“毫无准备”。

是杞人忧天，还是警世鸣钟？

在2018年末，有一篇耸人听闻的报道称，一些国家在运送给大公司的服务器上隐藏了微小的间谍芯片。

这些指控很快被否认，并最终被揭穿。但这一事件引发了一些令人不安的问题。英特尔供应链专家和工程师Charlie Stark表示：“很多人问，如果这种情况真的发生了会怎样？”

这是一个至关重要的问题，不仅是对行业制造商和采购专家而言。供应链是技术卖家和买家的生命线。在过去的几年里，它日益成为一个战场，不断受到国家和罪犯的攻击。

无论你是技术买家、卖家、制造商、投资者还是安全专家，以下是你需要慎重考虑供应链网络安全的五个理由：

有关专家表示，供应链威胁正在迅速增加，但却没有得到充分的报道。据行业估计，这些攻击现在占了所有网络攻击的50%，去年同比增长78%。多达三分之二的公司都经历过类似的事件，平均损失成本达到110万美元。Ponemon研究所2018年的一项研究发现，56%的组织遭受了由供应商造成的入侵危害。美国联邦监管机构报告称，国防部供应链中存在大量假冒集成电路和其他电子部件的行为。

有几种力量助长了这种令人不安的恶性增长。供应链的云端化、物联网、全球化以及向巨大的、相互关联的数字生态系统的转变是主要因素。地缘政治则是另一因素。有组织的犯罪团伙也渴望利用薄弱的供应链环节来牟取利益。研究机构Cybereason表示“一次攻击多方受害”是一种利润丰厚的商业模式，它成本低，而投资回报率却很高。

可以预见的是，来自公共和私营部门的声音正在拉响警报。例如，埃森哲咨询公司和英国标准协会（BSI）最近的报告指出，供应链安全是最大的挑战。一个主要的公私联盟最近呼吁在这个问题上进行迅速和严格的合作。这些伙伴关系中最具影响力的是信息和通信技术供应链风险管理工作组，该工作组由国土安全部领导，包括50多个政府机构和企业。

美国国家标准与技术研究所（NIST）发布了新的供应链风险管理指南。人们的担忧如此之大，以至于美国网络安全和基础设施安全局（CISA）宣布了一个“全国供应链诚信月”。9月发布的一份主要机构特别工作组报告也概述了供应链中主要的威胁场景、建议和基线。

供应链攻击实际上是两种威胁。第一种的目的是破坏或削弱实际的供应链，例如对关键基础设施或能源系统的攻击。

但也有人利用供应链作为渠道，攻击数十个、数百个、甚至可能是数千个相互关联的合作伙伴。通过发现和利用薄弱环节，攻击者可以在相互关联的实体之间跳跃，窃取数据，并随时进行监视或破坏。这就是这些攻击如此危险的原因，也是吸引黑客的原因。

最近一系列针对供应链的攻击都使用或针对软件。现在，黑客们加大了赌注。由于受到更好的软件保护的阻碍，他们于是把目标对准了硬件。在任何环境中，这种钻到硬件堆栈（向下到固件、BIOS和UEFI）的邪恶行为都是一个巨大的威胁。但它的破坏力在供应链中被放大了数倍。

供应链破坏的危害是潜在而广泛的。它播下了对产品可靠性和安全性的怀疑。制造业存在一系列潜在的危害，其中供应链攻击是最严重的。

美国网络安全和基础设施安全局警告说，在设计、开发和生产、分销、获取和部署、维护和处置等各个阶段都存在供应风险。

同样，供应链攻击会造成一系列的组织损害，包括受损的声誉、不合规和业务损失。

科技和电子行业是受到攻击最严重的目标，国防、金融服务和能源行业也是如此，但没有哪个行业能幸免。这份2019年全球威胁报告发现，超过一半的网络攻击利用了它所称的“跳岛”。这意味着攻击者不只是针对一个组织。作者警告说：“攻击者不仅仅是想抢劫你和你供应链上的人。他们想拥有你的整个系统。”

生态系统保护的重要性

所有这些因素结合在一起，形成了一个严峻的现实：供应链威胁很严重，而且可能进一步恶化。

人们普遍认为，各相关组织必须积极主动地发展信息驱动的供应链网络防御。但是最有效的方法是什么呢？对许多买家和卖家来说，答案是参与一个受认证的生态系统。

普华永道国家网络威胁研究中心主任Chadd Carr建议说：“作为既定商业协议的一部分，企业应考虑确定合理的安全级别和相关控制，要求分包商、供应商和关键供应链合作伙伴达到或超过这些标准。”

埃森哲也提出了类似的建议：“企业应定期寻求充分了解其威胁概况和供应链薄弱环节。它们应努力改善防范现代全球商业运营格局中固有的网络安全风险的流程，将网络威胁情报整合到并购和其他具有战略重要性的行动中，将供应商和工厂的检测纳入其流程，并实施针对行业的法规和风险评估标准。”

推广：猎云银企贷，专注企业债权融资服务。比银行更懂你，比你更懂银行，详情咨询微信： zhangbiner870616 ，目前仅开通京津冀地区服务。