了解你的风险——以及你朋友的风险

保罗汤普森
作者: 保罗·汤普森,光学网络解决方案
发表日期: 2022年7月21日

在当今全球互联的世界, 澳门赌场官方下载发现自己面临着比以往任何时候都大的供应链妥协风险. 的 2022年Verizon数据泄露调查报告(DBIR) 在过去的一年中,供应链合作伙伴在他们审查的系统入侵事件中所占的比例接近60%, 这一比例比前一年的不到1%有了惊人的增长.

随着澳门赌场官方下载加强网络防御和成熟的资产保护能力, 不法分子正在寻找最简单的方法来绕过这些保护措施:通过可信任的第三方合作伙伴或供应商进行渗透. 通常, 由于组织迫切需要实现最佳防御, 他们没有考虑到供应链合作伙伴的安全风险. 威胁行为者发现,攻击网络安全能力较弱的小型目标,以最终渗透到主要目标,要容易得多. 当你仔细想想,这是完全有道理的. 为什么要浪费时间和资源去攻破城堡的正门呢?

的威胁 供应链妥协 是否引起了世界各国高层官员的注意. 在美国,一项关于改善国家网络安全的总统行政命令 发布 由于需要提供关于打击公共和私营部门供应链妥协的指导. 该命令要求联邦机构改进他们的识别方法, 防止, 应对, 从供应链攻击中学习. 因为许多联邦机构处于供应链的末端, 这项行政命令影响到所有与联邦政府有业务往来的组织, 来自独立的“妈妈” & 小商店,一直到大型国防承包商. 行政命令要求的是,组织通过使用网络供应链风险管理(C-SCRM)流程,开发一种有效的手段来确保其供应链的完整性.

C-SCRM将信息安全概念纳入组织当前的风险管理过程. 这种集成有助于识别, 评估和减轻与信息技术(IT)和操作技术(OT)的产品和服务供应链相关的风险. 识别供应链风险是一个成熟项目的关键第一步. 了解供应链风险, 一个组织必须首先对它的资产有一个清晰的了解.g., 产品, 服务, 人员)在他们的整个生命周期, 包括组织使用的提供给第三方或从第三方接收的资产. 另外, 资产应该根据它们对整个业务任务和目标的重要性进行分类,以帮助理解评估风险时的优先级.

强大的资产识别和管理过程将为更容易地评估和管理组织供应链风险提供途径. 一个好的网络供应链风险评估会考虑到所有潜在风险发生的可能性和对组织及其合作伙伴的影响, 然后根据最大的总体风险对它们进行优先排序. 一旦风险被识别并确定优先级, 组织必须指定如何管理和应对(例如.e.(避免,转移,减轻,接受). 无论是内部响应还是由供应商执行的操作, 风险应对措施必须记录在案,并提前达成一致, 在可能的情况下.

识别风险和记录响应行动只是等式的一部分. 对于整个C-SCRM过程来说,至关重要的是对所有相关方进行沟通和教育,让他们了解组织风险以及如何应对. 组织必须确保所有人员和第三方合作伙伴都接受过供应链风险方面的培训, 鼓励自上而下的意识, 让合作伙伴和供应商参与组织范围内的响应计划测试和评估. 组织应该与供应商合作伙伴就风险问题建立公开的沟通,并鼓励合作伙伴也这样做. 总体思路是通过澳门赌场官方下载力量实现个人力量. 随着组织的C-SCRM(或整体网络安全)流程的成熟, 经验教训和最佳实践应该在此过程中分享,以帮助支持其他项目.

C-SCRM并不是一个新概念. 事实上,多年来有许多来源提供了关于该主题的指导. 美国国家标准与技术研究院(NIST)有一个 特别刊物(SP) 800-161 和一个 内部报告(IR) 8276 关于这个问题. 网络安全和基础设施安全局(CISA)有一个 致力于供应链风险管理的网站 以及关于管理依赖关系的评估指南. 这些只是无数出版物中的一小部分资源, 网站, 以及讨论这个话题的帖子.

为了帮助过滤噪音和建立一个更强大的C-SCRM项目, CMMI网络成熟度平台(CMMI- cp) ISACA不仅为组织提供了成熟C-SCRM过程的资源, 而是他们的整体网络安全计划. CMMI-CP基于风险的解决方案通过基于全球公认的行业标准的风险识别和评估,帮助组织建立网络供应链弹性. 该平台包括用于确定组织依赖关系和识别供应链风险的目标方法的实践领域,以帮助组织制定稳健的网络供应链风险管理计划. 有关CMMI-CP的更多信息可在 http://p6bq.rf518.com/enterprise/cmmi-cybermaturity-platform.