由于地緣政治緊張，全球供應鏈正在遭受打擊，更不用說全球持續蔓延的新冠疫情了。但供應鏈上還有一個問題仍然存在，它將比企業目前面臨的兩次中斷更持久：供應鏈安全問題。

英國標準組織BSI一項為期10年的研究表明，全球供應鏈每周發生3.1起安全攻擊事件。這種風險大部分來自IT安全問題。

威脅檢測平臺BlueHexagon公司首席技術官SaumitraDas表示：“供應鏈是IT安全的薄弱環節，因為企業不能總是控制供應鏈合作伙伴采取的安全措施。”

供應鏈在很多方面都很脆弱;供應鏈操作的復雜性擴展到供應鏈可能受到數字攻擊的各種方式。但對于當今的全球企業來說，有幾個領域尤其脆弱。

API的祝福和詛咒

全球商業的推動者之一是供應鏈上各種計算系統之間的互連。從歷史上看，由于世界各地使用的各種系統、流程和標準，這一直是一個棘手而不完整的集成。

云計算特別是應用程序編程接口(API)，極大地改善了這種情況，幫助企業通過API共享數據，而不必將其系統完全連接到更大的生態系統。

API是一個誘人的攻擊目標，然而，API編碼和方法中的缺陷可能會暴露數據。

Das指出，“許多供應鏈供應商都有通過API連接到組織的系統。”根據Gartner公司的預測，到2022年，API濫用將成為導致數據泄露的最常見的Web應用程序攻擊類型。

利基托管服務提供商：供應鏈中的薄弱環節

許多擁有全球供應鏈的行業都有托管服務提供商，這些托管服務提供商提供的技術服務對他們所服務的行業來說是利基的。雖然這些托管服務提供商通過提供數字工具和服務為所服務的行業發揮著寶貴的作用，但他們通常是規模較小的組織，沒有深入安全實踐的資源。

與許多小型企業一樣，這些行業托管服務提供商的安全性通常比它們所服務的大型組織要弱。問題在于，在全球供應鏈中，這些托管服務提供商成為了薄弱環節。

企業安全機構FireEyeMendiant公司的咨詢經理ChrisLinklater表示：“許多此類提供商都是小企業，沒有適當保護客戶數據的資源或經驗。“最近有幾個托管服務提供商成為勒索軟件的受害者的例子，這使他們客戶的業務運營陷入癱瘓。”

工業軟件：專業化是有代價的

同樣的問題也會影響到供應鏈中經常使用的較小的第三方軟件。大型企業軟件供應商，如SAP和Oracle，在安全技術和最佳實踐方面投入了大量資金，一般來說，他們和市場上的任何軟件一樣安全。不過，小型供應商的行業軟件沒有提供相同級別的安全。

由于全球企業在整個供應鏈上都依賴合作伙伴，使用小型第三方供應商開發的不太安全的軟件的情況甚至不會立即顯現出來。但它仍對企業及其運營構成風險。

Linklater說:“雖然大型軟件供應商有資源來確保他們的產品經過嚴格的安全測試，但許多小型軟件供應商沒有這種奢侈。有許多中小型軟件產品存在未修補的漏洞，或被威脅行為者利用向受害組織傳遞惡意代碼的例子。”

物聯網設備：一個等待發生的安全問題

互聯網設備的使用，統稱為物聯網(IoT)，近年來呈爆炸式增長。根據高德納的研究，2019年，企業對物聯網的采用增長了21.5%，該領域的物聯網設備總數達到48億臺。

然而，物聯網安全目前是一個巨大的問題。根據網絡安全公司帕洛阿爾托網絡威脅情報團隊Unit42的研究，目前該領域大約57%的物聯網設備容易受到中等或高嚴重程度的攻擊。

Linklater指出：“這些物聯網設備的挑戰在于，它們的設計以成本和可靠性為優先考慮，而安全性往往被忽視。”“這些物聯網設備存在風險，因為在部署過程中通常很難實施安全控制。”

雖然企業可以采取措施將物聯網的風險降至最低，但企業無法在供應鏈的所有環節實施適當的物聯網安全預防措施。這使得物聯網成為一個巨大的風險。

第三方系統訪問：不可避免且不受監控

不僅是許多軟件解決方案和物聯網設備在公司的供應鏈上發揮作用。也有許多雇員和承包商參與其中。通常，出于后勤需要，這些員工被允許訪問公司的部分網絡或計算系統。

雖然可能需要第三方訪問系統，但這也是一個與物聯網設備安全相同或更大的巨大安全風險。人類通常是安全鏈中最薄弱的一環，參與供應鏈但不受公司直接監控的工人是始終存在的安全隱患。

Das警告說：“有第三方訪問組織網絡的供應商可能會在不經意間受到損害，并進行滲透。其中一個最大的例子是Target攻擊，攻擊者設法通過暖通空調供應商滲透到Target的銷售點(PoS)機器。”

企業從全球貿易及其日益復雜的供應鏈中受益匪淺。但正如上述風險因素所示，供應鏈也帶來了相當多的額外安全風險。