张坤:基于“四相与十二宫”,解读供应链安全的科学框架 | CXO主笔团

2023-11-30 09:39:35  来源:

摘要:遵循“四相与十二宫”(四阶段和十二原则),企业可以有效地提高供应链安全能力基线水平,保护供应链免受物理和网络威胁,避免不必要的成本、低效的交付计划和知识产权的损失,以及避免客户受到伤害并导致不必要的诉讼。同时,这也有助于实现更安全、更高效的业务保障,并能够从中断中快速恢复。
关键词: 供应链安全 PDCA 数字安全 CXO主笔团 原创专栏
\
张 坤
硕士研究生导师、网络安全研究生实习基地导师

从业十五年,曾就职于国企、证券银行业、出行行业、健康医疗行业等,曾就职于多家上市企业,擅长企业安全及合规性治理、企业安全能力建设等,丰富的规划、建设、运营、优化能力,经历多家企业上市之路,持有二十余认证,参与主导多个国标、行标、团标编写,持有多个安全相关专利、软著。

——主笔强调
遵循“四相与十二宫”(四阶段和十二原则),企业可以有效地提高供应链安全能力基线水平,保护供应链免受物理和网络威胁,避免不必要的成本、低效的交付计划和知识产权的损失,以及避免客户受到伤害并导致不必要的诉讼。同时,这也有助于实现更安全、更高效的业务保障,并能够从中断中快速恢复。

一、开篇简述

据行业内了解和阅读,很多企业并不会为供应商设定最低安全标准,尽管存在不同的风险,风险也可能导致损失,很多企业仍然把供应链作为安全治理之外的内容,近期在研究供应链安全,希望能通过本篇文章提高读者对供应链安全的认识,并通过下文罗列的方式方法和案例分析去持续采用良好实践,帮助提高供应链安全能力基线水平。但是,任一家企业所涉及的供应链可能庞大且复杂,不同的节点、不同的内容、不同的形势、不同的供应商,在漏洞存在且将长久存在的前提下,有效、完整的保护供应链是很困难的,而且随着供应链的任何一点引入和利用,就会让脆弱的供应链(哪怕已经采用了安全措施)可能会重新面临损害和中断。

提示:供应链攻击是一系列、具有针对性的、目标明确的、极具破坏性的攻击手段,攻击者既有动力也有能力利用供应链安全中的漏洞,而且这种趋势是真实存在的,而且还在不断增长。接下来我们将会通过四个阶段,十二个原则来解释如何应对供应链风险,实现安全。

二、四相和十二宫(四阶段和十二原则)

在中国的传统文化之中,采用四相神兽来体现不同的方位、力量和价值观,在安全行业,最基本的模型是PDCA,计划、执行、检查和优化,也对应中国文化的青龙、白虎、朱雀、玄武。青龙代表东方,认为是威严、正义,象征守护,白虎代表西方,象征力量和攻击,朱雀,代表南方,象征希望和好运,而玄武象征着坚固和深厚的智慧。

在本章节,我们用四神兽来对应四个重要流程分别是:青龙-探敌情、白虎-筑防线、朱雀-巡查、玄武-持续修炼来对应PDCA。


\

1、青龙-探敌情

在做任何安全分析和资源分配之前,我们都很难对其对象有清晰的了解,当然在对供应链有清晰的了解之前,也很难对其建立任何有意义的控制,也就需要投入适当的努力和资源来实现这一目标。

(1)清晰的了解我们需要保护什么,为什么?

应该知道:

· 下一个所要签署的合同的敏感程度(关键?核心?普通?)
· 供应商在合同周期内将获得或有权获得、处理哪些数据、信息或资产?
· 需要为我们提供的保护级别?
· 需要为我们提供哪些产品、服务?是否有拓展风险?
· ……


(2)供应商是谁?(安全)能力如何?-价格优先是本条最大的敌人!

本条内容应该放在合同审核阶段,进行明确体现,并对验收进行关联。

应该知道:

· 供应商是谁?供应商为我们提供的服务依赖于谁?是否涉及分包商?或许我们需要更多时间去了解完整的供应链条。
· 供应商当前安全能力(人员、企业资质、产品技术投入、风险评估报告等),可以去建立评估模型,例如成熟度模型等。
· 直接供应商需要提供的安全能力,间接供应商需要提供的安全能力?
· 确定是否满足最低安全能力要求,例如等保、反病毒、WAF等。
· 是否有效投入技术能力并运营?
· 明确暴露的IT资产(账号、权限、信息系统、账号、物理场合)。
· 采用什么样的访问控制措施实现有效治理,例如审批、审计、监控、风控等。
· 要求供应商建立信息围栏,并明确证明,例如如何使用、共享、协作所获取的资产。

(3) 了解安全风险

风险范围要包括信息或资产、产品或服务以及更广泛的供应链所带来的风险。供应链的风险有多种形式。例如,供应商可能无法充分保护其系统,可能存在恶意内部人员,或者供应商的员工可能无法正确处理或管理您的信息。可能是您没有很好地传达您的安全需求,因此供应商做了错误的事情,或者供应商可能故意通过恶意行为破坏您的系统(这可能会受到政治、经济等的影响)。

风险来源

尽可能使用最好的信息来了解这些安全风险。例如:
· 常见网络攻击
· 合规风险
· 数据安全风险
· 员工风险
· 第三方软件提供商
· 网站建设者
· 第三方数据存储

了解与供应链相关的风险是确保安全措施和缓解措施相称、有效且响应迅速的关键,利用所获得的信息来决定对方应提供的适当保护级别。根据不同的风险因素采用不同的风险场景是符合“帕累托效率”的设计:
· 影响
· 概率
· 回复成本
· 可能威胁的能力
· 所提供的服务的性质
· 他们提供的信息
· 他们正在处理的信息的类型和敏感性等


\

2、白虎-建防线

只有很好地实施了管控,才能深入地去分析风险,找出那些持续无法满足您的安全和性能期望的供应商。才能识别关键资产以及对单一供应商的过度依赖。这才有助于在规划中建立更多的多样性和冗余性。

(4)敢于提要求,对供应商明确传达期望的安全预期

当然,需要确保供应商了解、并且有能力做到,适当时候可给予明确意见,例如不允许转包、必须提供敏感数据加密能力,必须实现等级保护三级备案等。

(5)设定最低安全要求

应该为供应商设定合理、相称且可实现的最低安全要求。并且要确保我们有能力对所提出的要求进行有效评估。最低,代表红线,不符合不准入的原则。

具体情况具体分析
· 设置豁免条款,比如购买办公用品不需要。
· 不同风险级别、不同保护措施、不同类型供应商、不同类型产品和服务建立对应关系。
· 避免强迫所有供应商提供同一组安全要求的情况,而这样做可能不相称或不合理。
· 向您的供应商解释这些要求的理由,以便他们了解他们的要求。
· 在您与供应商签订的合同中包含您的最低安全要求。
· 当涉及分包,需要要求您的供应商将这些要求传递给他们可能拥有的任何分包商
· 可以为解决一个用例而实施的措施可以重复用于其他用例。
· 不同的保证方法可用于增强对一系列不同风险管理的信心。 

(6)安全要求应出现在合同里,并在重要节点体现

将安全考虑纳入合同条款和流程中,要求供应商提供证据证明其安全方法以及满足最低安全要求的能力:
· 确保合同中构建的安全考虑因素是相称的,并且与合同流程的各个阶段保持一致。
· 要求在合同中采用它们并对所有各方进行使用培训。
· 检查您的支持指南、工具和流程是否在整个供应链中得到使用。
· 要求按适当的时间间隔续签合同,同时要求重新评估相关风险。
· 寻求确保您的供应商理解并支持您的安全方法,并且仅要求他们在支持供应链安全风险管理所需的情况下采取行动或提供信息。
· 确保合同明确规定供应商在合同终止或转让时返还和删除您的信息和资产的具体要求。

(7)角色突变:安全义务和安全责任

当我们作为供应商的时候,确保作为供应商执行并满足对我们的任何要求。提供向上报告并将安全要求向下传递给分包商。

(8)从不落后的安全意识

· 语言同步:使用大家都懂得“语言”沟通安全要求和措施。

· 设立目标:为我方和对方适当的员工建立供应链安全意识和教育。

· 信息共享:促进并采用整个供应链的安全信息共享,以便更好地理解和预测新出现的安全攻击。

(9)为安全事件提供支持

虽然要求供应商实现、并保证安全是合理且必要的,但我们应该做好可能发生的任何风险事件并提供必要的措施和要求:
· 建立沟通备忘录,并保持更新
· 明确要求安全事件的级别判定
· 明确安全事件的上报、写作流程,并明确实践要求。
· 必要的经验(教训)同步。每一个看似搞笑的要求背后都有一个血淋淋的案例。

3、朱雀-巡查

(10)巡查也是必要管理手段

建立巡检机制,至少应包含核心、重要,对企业重要业务有致命影响的供应商。
· 将“审计权”纳入所有合同并行使。
· 在某些场景下,可要求在合理的情况下持续提供渗透测试、外部审计或正式安全认证等。
· 建立关键绩效指标来衡量供应链安全管理实践的绩效。
· 审查任何发现和吸取的教训并采取行动。
· 应建立罚则。


\

4、玄武-持续修炼

(11)持续改进

随着新技术的发展,无论是人工智能、大数据分析等的恶意利用,都要求我们面对新攻击模式应采取有效的防御能力进行对抗不断演变的攻击。我们和供应商应该确保及时了解这些攻击,网络攻击,欺诈、盗窃和内部人员等威胁一样重要。

· 要求、鼓励供应商继续改进安全措施,必要时提供建议和支持。
· 避免不必要的障碍,例如过度的投入和技术要求。
· 承认并准备承认他们可能拥有的任何现有安全实践或认证,这些实践或认证可以证明他们如何满足您的最低安全要求(投标项的加分有助于持续维护)。
· 给供应商留出时间来实现安全改进。
· 倾听并采取行动解决通过绩效监控、事件或供应商向上报告所强调的任何问题,这些问题可能表明当前的方法没有按计划有效。

(12)与供应商建立信任

· 与主要供应商建立战略合作伙伴关系。
· 分享问题,鼓励并重视他们的意见。可根据意见修订供应链安全方法的认可,以便该方法能够考虑到他们的需求以及您自己的需求。
· 让供应商具有一定的分包商管理权限和责任,但需要我们进行验证。
· 保持持续有效的沟通。
· 将供应链管理视为一个共同问题。

三、典型案例

1、 第三方软件提供商

据称,自 2011 年以来,名为 Dragonfly(也称为 Energetic Bear、Havex 和 Crouching Yeti)的网络间谍组织一直将目标瞄准欧洲和北美的公司,主要是能源领域的公司。该组织有通过供应链瞄准公司的历史。

为此,他们首先入侵了 ICS 软件供应商的网站,并用自己的恶意软件感染版本替换了其存储库中的合法文件。

该恶意软件包含额外的远程访问功能,可用于控制安装该恶意软件的系统。受感染的软件很难检测其是否在源头被更改,因为目标公司没有理由怀疑它不合法。这对供应商产生了很大的依赖,因为不可能深入检查每一个硬件或软件来发现这种类型的攻击。


\

2、 网站建设者

网络犯罪分子还以供应链为目标,以此作为利用恶意软件接触最广泛受众的手段。识别和损害一个具有战略意义的重要因素是对资源的有效利用,并可能导致大量感染。夏洛克银行木马就是一个很好的例子。2014 年 7 月,执法机构和网络安全界开展联合行动,减少了该病毒背后组织的威胁,重点关注英国、意大利和美国的电子银行业务。

夏洛克攻击者通过创意和数字机构使用的网站构建器破坏了合法网站。他们使用了重定向脚本,将受害者发送到夏洛克作者拥有的恶意域。从那里,Shylock 恶意软件被下载并安装到那些浏览合法网站的系统上。

节省精力使这项工作非常成功。通过集成其他恶意软件采用的多种不同功能,Shylock 能够执行可定制的“浏览器中的人”攻击,避免检测并保护自身免受分析。这次攻击不是单独损害多个合法网站,而是针对由英国创意数字机构设计的网站模板的核心脚本。


\

3、第三方数据存储

许多现代企业将数据外包给第三方公司,由第三方公司汇总、存储、处理和代理信息,有时代表彼此直接竞争的客户。此类敏感数据不一定只涉及客户,还可能涵盖业务结构、财务健康状况、战略和风险敞口。

过去,进行高调并购的公司一直是目标。2013 年 9 月,据报道属于大型数据聚合商的一些网络已遭到破坏。据观察,一个小型僵尸网络通过加密通道将信息从众多数据存储的内部系统泄露到公共互联网上的僵尸网络控制器。

最引人注目的受害者是一家数据聚合商,该数据聚合商许可企业和公司的信息用于信贷决策、企业对企业营销和供应链管理。虽然攻击者可能追求的是消费者和企业数据,但欺诈专家表示,有关消费者和企业习惯和做法的信息是最有价值的。受害者是众多企业的认证机构,为金融交易请求提供“基于知识的身份验证”。这种供应链妥协使攻击者能够访问第三方存储的有价值的信息,并可能实施大规模欺诈。


\

4、水坑攻击

水坑攻击的工作原理是识别目标组织甚至整个部门(例如国防、政府或医疗保健)内用户经常访问的网站。然后该网站就会遭到破坏,从而能够传播恶意软件。攻击者识别主要目标网络安全中的弱点,然后操纵水坑站点来传播利用这些弱点的恶意软件。

恶意软件可能在目标没有意识到的情况下进行交付和安装(称为“路过”攻击),但考虑到目标可能对水坑站点具有信任,它也可能是用户有意识地下载的文件认识到它真正包含的内容。通常,恶意软件是远程访问木马 (RAT),使攻击者能够远程访问目标系统。


\

四、结束语

供应链安全应该是组织的重中之重,因为系统内的漏洞可能会损害或扰乱运营。供应链中的漏洞可能会导致不必要的成本、低效的交付计划和知识产权的损失。此外,交付被篡改或未经授权的产品可能会对客户造成伤害并导致不必要的诉讼。而供应链安全管理可以帮助保护供应链免受物理和网络威胁。虽然威胁无法完全消除,但供应链安全可以实现更安全、更高效的业务保障,并能够从中断中快速恢复。


·END·


商务合作
小   希 | 电   话:15647200608
             微信号:ciotimes

媒体合作
巴老师 | 电   话:13681033774(微信同号)

内容合作
张老师 | 电   话:18046567595(微信同号)



第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:zhanghy

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。