尽管贵组织可能已为其信息技术安全计划投入了大量资源,但要确保网络供应链免受第三方数据泄露、勒索软件攻击及其他安全风险的威胁,仍面临巨大挑战。随着供应链日益复杂或高度依赖海外合作伙伴,这项任务的难度将进一步加剧。
如何在确保供应商具备必要安全控制措施以保护企业利益的同时,洞察扩展供应链中第三方、第四方乃至N方带来的风险?本文将通过分享构建更高效网络供应链风险管理(C-SCRM)计划的最佳实践,助您开启这一进程。
什么是网络供应链风险管理(C-SCRM)?
网络供应链风险管理(C-SCRM)是指识别、分析并缓解各类安全漏洞、数据暴露及其他安全隐患的过程,这些隐患可能威胁到组织提供信息技术(IT)或运营技术(OT)产品与服务的能力。
管理供应链中的网络风险不仅需要保护组织免受直接攻击,还需降低第三方及N方数据泄露风险——此类事件可能导致业务中断。
供应链风险现已成为众多组织董事会层面的关注焦点。考虑到Prevalent近期研究得出的以下统计数据,这并不令人意外:
- 过去12个月内,45%的企业遭遇了第三方数据或隐私泄露事件。
- 54%的受访者报告了供应链中断
- 55%的受访者报告了与缺乏第三方监督相关的合规违规行为
一个有效的供应商安全风险管理(C-SCRM)计划能够帮助贵组织做出明智决策,并选择那些高度重视网络安全和合规性的供应商。
网络供应链风险示例
勒索软件
勒索软件是一种恶意软件,它会阻止用户访问受感染的计算机系统,加密系统中的文件,或威胁泄露窃取的敏感数据,除非受害者向攻击者支付赎金。尽管勒索软件已存在数十年,但技术进步使犯罪分子得以实现更高的攻击规模和复杂程度。攻击者不再像过去那样主要针对中小企业勒索小额赎金,如今他们正瞄准全球供应链中的关键枢纽——大型企业。
勒索软件成为重大新闻话题不足为奇。与C-SCRM相关的典型案例便是去年Kaseya公司遭遇的入侵事件——黑客通过该公司的远程监控与管理(RMM)工具,对数千家企业发动了勒索软件攻击。
软件漏洞
使用存在已知漏洞的软件,或对软件供应商的安全实践缺乏清晰了解,都可能使您的组织面临重大运营中断、数据泄露和系统停机的风险。以SolarWinds安全事件为例,该事件导致数千家企业和政府机构在数月内持续暴露于恶意攻击者的威胁之下。
物理与虚拟IT访问
物理和虚拟IT访问是供应链安全漏洞最明显的入侵渠道之一。众多企业曾遭受承包商入侵,这些承包商最初看似风险等级较低。然而,由于他们拥有设施和IT系统的物理访问权限,恶意行为者便能将其作为特洛伊木马,借此渗透至企业客户系统。
被盗凭证
网络犯罪分子利用企业邮箱账户或网络时,通常不会直接窃取数据。相反,他们会在暗网以比特币或其他加密货币出售被盗的用户名和密码。这种方式降低了犯罪风险,因为他们无需入侵个人账户即可立即将窃取的凭证变现。
近期,暗网上的勒索软件团伙开始公开发布受害者信息,以此向受害组织施压要求支付赎金。监控这些论坛和博客可为潜在数据泄露提供早期预警,这些泄露事件可能影响您整个供应链中共享的数据。
合规违规
根据Prevalent最近的一项研究,55%的企业报告了因缺乏第三方监督而导致的合规违规行为。企业不仅需要确保自身内部的个人身份信息(PII)安全,还必须主动确保第三方妥善保护客户数据及其他敏感信息。相关法规包括《加州消费者隐私法案》(CCPA)、《通用数据保护条例》(GDPR)、《合同制造商能力认证》(CMMC)、《支付卡行业数据安全标准》(PCI DSS)等。
网络供应链风险管理 (C-SCRM) 最佳实践
寻找符合组织功能和业务需求的解决方案已足够耗时。评估潜在供应商的网络安全态势,更会为采购和选择流程增添额外的复杂性和不确定性。
正因如此,在与潜在供应商建立合作关系之初,必须依据信息请求书(RFI)、提案请求书(RFP)及其他招标流程(RFx)开展合同前尽职调查。在供应商合作关系的早期阶段,需重点关注以下网络安全要点:
- 数据泄露历史及披露情况,以帮助判断供应商是否易受网络攻击
- 正在使用的第四方技术,用于洞察技术集中风险,并发掘可能为组织提供后门通道的周边技术。
将这些见解融入您的RFx流程,不仅能确保所选解决方案符合需求,还能避免该解决方案背后的供应商给您的组织带来不必要的风险。
将安全要求纳入供应商合同
许多组织未能意识到,他们可能通过合同强制要求实施网络安全控制措施。服务水平协议及其他合同协议可要求第三方和第四方实施或维护网络安全控制措施,以保护贵组织的敏感数据。
理解供应商风险的特征化、固有性和残余性
理解不同类型的供应商风险,可助您基于数据制定供应商风险问卷的实施策略,并依据可量化的风险指标精准比较供应商。在Prevalent,我们将供应商风险划分为三类:
- 风险分类:风险分类 适用于供应商向贵组织提供的产品或服务类别。例如,能够访问贵组织IT环境的托管服务提供商(MSP)所带来的风险分类远高于清洁承包商。
- 固有风险:固有 风险是指供应商在实施贵组织要求的安全控制措施之前所带来的风险程度。该风险值是根据风险评估和风险监控数据,针对特定企业计算得出的。
- 残余风险:残余风险是指供应商采取补救或缓解措施后仍存在的风险。您的风险管理团队需要判断残余风险是否可接受。
运用供应商风险问卷与信息库
供应商风险问卷可揭示供应商的网络安全管控措施,有助于规避合规违规风险。通过根据固有风险定制问卷,并将回答映射至适用于贵组织的网络安全法规,您能显著加快供应商尽职调查流程。
您还应考虑根据行业、服务级别和/或系统访问权限对问卷进行分段设计。例如,软件供应商所需的问卷内容可能与现场暖通空调承包商存在显著差异。有效运用供应商风险问卷可简化合规流程、优化供应商入驻程序,并提升对扩展供应链的可视性。
采用第三方风险管理平台可实现流程自动化,缩短供应商评估所需时间。此外,订阅 供应商风险情报网络是获取数千份已完成评估报告的经济高效途径,能为采购、甄选、入职及固有风险评分等环节提供规模化支持。
额外提示:在 设计供应商风险评估问卷时, 应纳入关于第四方及N方的提问,以深入洞察供应链更深层的风险。即便您的第三方供应商具备完善的网络安全管控措施,其供应商仍可能引发数据泄露事件,最终波及您的组织。
在整个网络供应链中实施持续监控
持续实施第三方监控有助于识别影响供应商的新漏洞、数据泄露及其他安全隐患。监控机制使您能够及时掌握定期问卷评估间隙可能出现的风险。强大的网络风险监控解决方案可整合犯罪论坛、洋葱网页、暗网特权访问论坛、威胁情报源、粘贴网站、安全社区、代码库、漏洞数据库等多元渠道的情报资源。
除了对可能影响贵组织的潜在事件提供早期预警外,持续监控还能验证供应商评估反馈中报告的控制措施是否已落实到位,并按预期发挥作用。
别忘了第四和第N方
与实物商品不同,要追踪组织信息在整个扩展供应链中的存储和共享情况往往困难重重。您网络供应链中的每个组织可能与数十家甚至数百家软件公司、外包IT承包商及其他第三方合作——其中若干方可能接触到贵公司的信息。 对于首席信息安全官或首席信息官而言,最不愿听闻的消息莫过于:因第N级供应商的疏忽导致组织遭遇数据泄露事件。
在评估和缓解第四方风险时,可参考以下最佳实践:
识别网络供应链中的关键供应商
构建有效的C-SCRM计划需要优先确定应重点关注的供应商风险。普通企业通常与无数的第三、第四乃至N级供应商合作。要全面识别每个供应商延伸供应链中的所有风险实属不可能。在努力获取第四级及N级网络供应链的可视性时,应首先根据供应商固有风险评分,聚焦于最重要的供应商。在确定优先级时,需考虑以下因素:
- 供应商对受监管数据(如个人身份信息、个人财务信息、个人健康信息)以及适用的机密或受控非机密信息拥有何种访问权限?
- 该供应商是否为软件提供商?如果是,其将组织数据托管于何处?该数据中心具备哪些安全控制措施?
- 供应商是否已建立自己的网络供应链风险管理计划?如果已建立,他们能否提供一份关于其网络供应链风险的报告?
- 该组织的信息安全和第三方风险管理计划是否基于公认的框架?
绘制您的扩展网络供应链
构建一份包含依赖关系和风险分级的全面供应链地图,能助您获得所需的可视性,从而做出有效的风险缓解决策。首先,您需要确保收集到必要数据。关于扩展供应链中第四方及N方的相关问题,应成为所有供应商风险评估问卷的标准内容。
在充分了解第三方和第四方的生态系统后,您可识别可能存在单点故障或信息安全风险超标的供应商。若第四方或N方被判定为高风险,建议采取以下补救措施:
- 请求更新您与相关第三方签订的合同,以限制向高风险第四方共享数据或提供IT基础设施访问权限。
- 要求提供关于第四方的安全控制措施和基础设施的补充信息
- 在合同到期续签时,考虑选择其他第三方供应商
- 与第三方关联的内部部门协作,实施安全保障措施并限制敏感数据共享。
- 对第四方实施持续监控,以降低安全漏洞风险,避免最终影响贵组织。
定期重新评估供应商风险
风险始终处于不断涌现和演变之中,因此仅对关键供应商进行单次、单点风险评估远远不够。务必在合同生命周期中的多个节点重新评估风险,以确保残余风险未超出可接受范围。以下是一些值得考虑的问题:
- 贵公司的C-SCRM项目是在合同整个生命周期内持续进行风险评估,还是仅在初期进行一次评估?
- 风险评估的范围和频率是否基于供应商入职流程中的风险发现结果来确定?
- 您能否将供应商残余风险状况的变化有效整合到更广泛的第三方风险管理工作流程中?
- 您是否将第四方和第N方风险纳入标准风险评估范围?
实施供应商事件响应计划
预谋之恶——拉丁语中意为" 对可能发生的灾祸与困境的预先谋划"。简言之,就是未雨绸缪!供应商网络安全事件终将发生。然而,贵机构对此类事件的准备程度,将决定事件演变为严重破坏还是轻微干扰。
有效的事件管理(IM)与C-SCRM相辅相成。 例如,识别您的第三方、第四方及N方供应商有助于实现高效事件管理——毕竟多达半数的事件源于供应商环节。供应商与分包商合同必须包含事件管理/违规通知条款,要求在重大事件确认后固定时限内(例如24小时)完成通报。通过验证供应商的事件管理流程与联络机制,并定期进行测试,可确保企业具备应对和解决事件的运营准备状态。
离职期间保持勤勉
许多企业在供应商尽职调查、风险问卷和合规要求梳理上投入大量时间,却未能为合作终止阶段做好规划——而此时往往是安全漏洞频发的关键时刻。正因如此,供应商退出流程与入驻流程同等重要。若未能成功完成供应商退出程序,确保敏感数据被彻底销毁且IT访问权限被撤销,可能导致:
- 若合同已到期而供应商仍可访问IT系统,则存在合规问题
- 若供应商存储了您员工或客户的个人身份信息(PII)或个人健康信息(PHI),则可能发生数据泄露风险。
- 承包商雇员保留对数据和系统的访问权限时产生的内部威胁
C-SCRM 资源
在构建或评估您的计划时,可参考若干网络供应链风险管理资源。重要资源包括美国国家标准与技术研究院(NIST)及其他政府机构、监管机构和私营行业组织发布的文件。以下是一些实用资源:
美国国家标准与技术研究院特别出版物800-161修订版1:系统与组织网络安全供应链风险管理实践
NIST SP 800-161是一套网络供应链风险管理框架,可协助贵组织建立并完善其C-SCRM计划。 该标准详细阐述了如何将C-SCRM计划融入企业整体风险管理战略,并涵盖构建高效C-SCRM计划的关键成功要素。其控制措施分为20个类别,涵盖从访问控制到事件响应的全方位管理。
美国国家标准与技术研究院(NIST)C-SCRM风险暴露框架
NIST SP 800-161修订版1的附录A包含一个风险暴露框架,其中提供了识别潜在供应链威胁场景的详细指导。 NIST将威胁场景定义为"与特定潜在或已识别威胁源(或多个威胁源)相关联的一组离散威胁事件,这些事件在时间上具有部分顺序性"。该风险暴露框架可帮助您识别各类供应链威胁场景并分配风险等级,并将评估结果纳入更广泛的第三方风险评估体系。
美国国家标准与技术研究院(NIST)C-SCRM模板
NIST 800-161 r1的附录D提供了若干模板,用于记录您的C-SCRM计划,包括实施计划、合规举措、战略目标、角色与职责以及实施里程碑。这些模板对于规划新的C-SCRM计划或通过支持性文件完善现有计划具有不可估量的价值。
美国国家标准与技术研究院软件安全供应链指南
美国国家标准与技术研究院(NIST)发布了《软件安全供应链指南》,以响应《关于加强国家网络安全的行政命令》(EO 14028)第4E节的要求。该文件主要面向联邦机构,但其中许多实践方法同样适用于希望降低扩展供应链中网络风险的企业。
“EO关键软件”的安全措施
《行政命令关键软件安全措施》是美国国家标准与技术研究院(NIST)为响应第14028号行政命令而制定的另一份文件。NIST将行政命令关键软件定义为:
…任何软件若包含或直接依赖于具有以下至少一项属性的组件:
- 旨在以提升权限运行或管理权限;
- 拥有直接或特权访问网络或计算资源的权限;
- 旨在控制对数据或运营技术的访问;
- 执行对信任至关重要的功能;或,
- 在正常信任边界之外运行,并具有特权访问权限。(来源)
《安全措施》文件主要面向联邦机构,但私营部门实体也可轻松复用。该文件明确了应被视为"EO关键"的软件类别,这有助于您在供应商评估与分级阶段识别潜在高风险供应商。
美国国家标准与技术研究院关于软件开发者验证最低标准的指南
这份美国国家标准与技术研究院(NIST)文件 为联邦机构验证所用软件的安全性制定了 具体指南。其中包含以下验证技术,这些技术应作为识别风险的基础:
- 威胁建模以识别设计层面的安全问题
- 自动化测试以确保一致性并最大限度减少人力投入
- 静态代码扫描以发现漏洞
- 用于查找可能存在硬编码密钥的启发式工具
- 使用内置检查和保护机制
- “黑盒”测试用例
- 基于代码的结构化测试用例
- 历史测试案例
- 模糊测试
- Web应用程序扫描器(如适用)
- 包含代码的地址(库、包、服务)
HHS C-SCRM指南
美国卫生与公众服务部发布了一份关于完善C-SCRM计划的演示文稿。该文稿基于美国国家标准与技术研究院(NIST)的标准,从宏观层面概述了C-SCRM的最佳实践,并涵盖了作为整体C-SCRM计划组成部分应实施的具体控制措施及控制措施组。
担忧网络供应链风险管理?Prevalent 可助您一臂之力。
第三方网络风险正呈指数级增长。Prevalent提供便捷易用的平台,助您实现供应商风险评估问卷自动化、为供应商分配风险评分、实时监控风险动态变化,并全面管理与报告供应商风险。采用专属TPRM平台可自动化供应商风险管理全流程,使团队专注于降低组织风险。立即申请演示,了解Prevalent如何助您管理供应链风险。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
