企業進行大量投入以保護自己免受網絡風險和威脅，他們未來的生存和聲譽取決于此。然而，他們的強弱程度取決于最薄弱的環節，通常是供應鏈，這是他們的對手也非常清楚的事實。

正如英國政府《2021 年網絡安全漏洞調查》所強調的，“規模各異的大多數組織都沒有正式審查其直接供應商和更廣泛的供應鏈帶來的風險。” 進一步閱讀調查發現，缺乏時間、信息和知識是未審查供應鏈安全風險的主要原因。當涉及網絡安全時，許多組織面臨的問題是一樣的。

供應鏈讓不法分子可以從一個點發起廣泛的攻擊，SolarWinds 和 Kaseya 攻擊是最近的兩個眾所周知的例子。根據總部位于倫敦的屢獲殊榮的調查機構Opinion Matters的說法，供應鏈互連性非常敏感，以至于 97% 的組織都受到供應鏈中發生的網絡安全事件的負面影響。

隨著公司的發展，其第三方生態系統也在發展，管理和減輕網絡風險以達到安全標準變得越來越困難。招募新供應商、評估當前的第三方風險并嘗試在整個組織內清楚地傳達安全性能是一項艱巨且必要的任務。

作為基礎，值得考慮使用第三方風險管理 (TPRM) 工具，該工具可以在面臨供應鏈風險挑戰時執行三項關鍵任務。

1) 供應商驗證

無論是評估新供應商還是現有供應商，擁有能夠自信地保持大規模風險承受能力的工具有助于更快、更有效地做出決策。TPRM 工具提供了更好地管理風險標準和/或企業目標的能力，并通過以下方式評估供應商的安全狀況：

• 基于固有風險的供應商分級，允許優先級更高的補救決策
• 用于補充或驗證供應商問卷回復的客觀風險數據
• 通過單一參考點大規模評估和評估供應商的集成，允許行業基準將供應商與其競爭對手進行比較，以評估安全地位。

2) 持續監控

管理有效的第三方風險計劃需要在整個供應商生命周期中進行持續評估。風險在不斷演變，由于執行評估的成本很高，并且難以管理與供應商的關系，因此很難識別每一個潛在風險。

TPRM 通過以下方式簡化并提供對第三方的持續可見性，簡化重新評估過程并簡化與供應商的協作：

• 實時分析以識別和補救發生的風險
• 與供應鏈合作伙伴更好地協作以進行有效的補救
• 提高對第四方（供應商供應商）生態系統的可見性，以提供更大的保護。

3) 有效保證

在您的供應商組合中衡量網絡控制的性能可能既麻煩又耗時，尤其是隨著您的計劃的改變。將您的第三方風險計劃績效傳達給利益相關者以確定和調整組織成功、競爭定位和資源分配也很重要。TPRM 通過以下方式減輕這些負擔：

• 易于溝通和理解的綜合報告
• 對違規和勒索軟件概率的有意義的見解
• 與公司價值和績效直接相關的經過驗證的指標。

一家總部位于英國的大型技術供應商概述了其第三方參與的流程和規則。他們的出發點是合作伙伴至少持有一套正式網絡衛生證書，即 CyberEssentials/ISO27001 認證，并且合同包括審核和測試條款合規性的權利，其中包括網絡安全狀況。 

由此可見，組織開始認真對待對供應鏈的威脅。如果可以證明安全立場和黑客威脅得到認真對待，這將在爭取新業務時提供競爭優勢。

為了證明這一點，應考慮以下幾點：

• 在招聘員工時，一定要勤于進行背景調查和詳細篩選。內部威脅仍然是黑客的頭號樂事。
• 不要認為安全漏洞不可能發生。積極主動并了解地緣政治環境。行為者很可能有動機造成傷害或尋求訪問您的資源。
• 供應商和合作伙伴應該是眾所周知的。采取合理措施驗證供應商的安全實踐和程序。鑒于您的客戶正在審查您的業務，因此您對他們做同樣的事情是正確的；對待別人就像對待你一樣！
• 應實施穩健的集中治理流程，并涉及所有內部安全主管。能夠通過持續審計、員工網絡培訓等來證明內部安全狀況，將有助于展示“言行一致”的狀態，這對獲得合同有很大幫助。

保障供應鏈安全是每個公司的責任。只有當所有實體都采取有效、協調的安全措施，確保供應鏈數據的完整性、貨物的安全和全球經濟的安全時，供應鏈才能真正的安全。

原標題：Is There a Weak Link in Your Supply Chain?

作者：Colin Tankard

鏈接：https://www.infosecurity-magazine.com/opinions/weak-link-supply-chain/