供应链技术进步引发的安全担忧
包括人工智能 (AI)、大数据、分析和区块链在内的各种技术正在显著地改变供应链的运行方式。供应链比以往任何时候都更快、更准、更具预测性。这一切都很好。或者说这样就好吗?这些进步至少带来一个重大隐患:网络安全风险增加。互连的供应链为网络惯犯提供了更多的攻击向量和更丰厚的回报,而且可能跨越多个企业组织。这使得供应链成为极具诱惑的攻击目标。
网络攻击不可避免
随着针对供应链的网络攻击越来越普遍,各个企业必须预料到攻击会发生并制定应对计划,而不仅仅是努力防止攻击。简言之,网络攻击是“何时”的问题,不是“如果”的问题。
Gartner 在其 2022 年《在高度复杂的供应链中茁壮成长的调查》 1 中写到,31% 的受访者表示,在过去两年的某个时间,他们受到了影响供应链运行的网络攻击。该市场研究公司预计,这项数据到 2025 年将提高至 45%。2 根据 Verizon 的《2024 年数据泄露调查报告》(DBIR) 3,从通过电子邮件进行网络钓鱼式攻击到让人拿起并插入受感染的优盘,人为错误仍然是常见的攻击向量,但勒索软件和其他与勒索相关的威胁也在增加, 且比去年增加了 180%(图 1)。
图 1:人员仍然是最容易受到攻击的接入点,勒索软件和敲诈勒索会越来越常见。(图片来源:Verizon DBIR)
这类安全漏洞会让企业在时间和金钱方面付出高昂的代价。根据 Ponemon 研究所发布的《2023 年全球内部风险成本报告》,每家企业的行业安全漏洞平均成本上升至 1,620 万美元,事件控制时间中位数为 86 天。4 而去年的统计数据分别为 1,540 万美元和 85 天。这些数据甚至还没有考虑到企业的品牌成本。
头条新闻中经常会出现网络攻击的报道,而高科技和制造业是重要的受攻击目标。去年,制造企业成为了网络犯罪分子攻击的重灾区(图 2)。随着最新技术的发展,网络安全已成为企业成功的关键。意识到这一点后,企业逐渐增加了在网络安全方面的投资。预计到 2025 年,全球网络安全预算总额将达到 2,120 亿美元,比 2024 年增长 15.1%。5
图 2:去年,制造业成为网络犯罪分子的最大攻击目标。(图片来源:Statistica)
最佳的安全实践
在这个充满活力、不断变化的环境中,采购部门必须优先考虑网络安全措施,并能将内部员工、客户和供应链上的供应商纳入考虑范围。在企业内部,网络安全必须放在首位,并在定期风险评估中加以考虑。培养网络意识和投资网络安全恢复能力是各项措施中的重中之重。以下为一些最佳做法:
- 数据加密:采用高级加密标准 (AES) 加密所有类型的数据。美国政府选择这种对称式区块密码来保护机密信息。
- 确保员工凭证和访问的安全:人是容易犯错的,因此要加强培训和定期提醒。员工是一个公司的头道防线,必须能够识别网络钓鱼邮件和可疑链接并保护自己的登录。
- 针对现实生活进行培训:让员工了解真实场景以及这些网络攻击如何影响公司及合作伙伴。定期提供有关新攻击的最新信息:充满活力的信息更容易保留下来。
- 进行渗透测试:聘请专家扫描漏洞,并在漏洞被利用之前加以解决。升级弱密码,确保数据库、终端和网络的安全。
- 制定问题计划:创建并维护一个简单可行的事件响应计划,其中包含可部署的补救措施。定期测试。
合作伙伴之路
确保一级及以下合作伙伴的信息安全战略到位,这与优先考虑内部网络安全同等重要。制定一份信息安全清单,并确保合作伙伴遵守。同时,鼓励合作伙伴切实在供应链中贯彻这些良好的实践。CSA 云控制矩阵提供了 17 个领域中的 197 个控制目标,涵盖了云安全和合规性的关键方面6。如果您的合作伙伴存在漏洞,则他们就会成为攻击向量,让坏人乘机进入您的企业。
安全就像跳背游戏。只要好人发明了保护系统和数据安全的新方法,坏人就会想出破解办法。随着先进技术越来越多地被采用,保持警惕和贯彻最佳实践就成为确保安全的关键。
参考文献
3: https://www.verizon.com/business/resources/reports/dbir/
4: https://ponemonsullivanreport.com/2023/10/cost-of-insider-risks-global-report-2023/
6: https://cloudsecurityalliance.org/research/cloud-controls-matrix
Have questions or comments? Continue the conversation on TechForum, Digi-Key's online community and technical resource.
Visit TechForum