隨著數字化轉型的不斷深入，企業越來越依賴第三方軟件、云服務和外包供應商，數字供應鏈的復雜性和脆弱性與日俱增。網絡犯罪分子正鎖定這些供應鏈，企圖通過惡意軟件、勒索軟件和數據竊取活動獲取非法利益。一旦供應鏈遭到破壞，企業將面臨運營中斷、數據泄露、財務損失和聲譽受損的巨大風險。

是時候強化擴展的數字供應鏈安全防護了。

需求與合規雙輪驅動

數字化轉型推動著組織對第三方軟件和服務的依賴日益增強，這不僅催生了更多隱蔽難測的漏洞與風險，也使數字供應鏈變得比以往更加復雜。特別是隨著云計算的普及，企業更多地依賴基于云的服務。攻擊者非常清楚，通過破壞供應鏈可以大幅提高攻擊的效率和盈利能力，并將攻擊的重點越來越多地轉移到供應鏈上。

與此同時，各種法規對數字供應鏈安全提出了更多、更高的要求。比如。歐盟推出了數字運營恢復力法案(DORA)和網絡安全指令2(NIS2)等法規，重點是確保供應鏈安全，并要求企業對其網絡安全實踐負責。

DORA專門針對IT服務提供商采取非常規范的方法，為金融機構及其供應商提供了明確的合規路徑。它強調了解第三方風險作為保障運營連續性的更廣泛努力的一部分。該法規旨在提高金融行業的運營恢復力。金融公司必須確定對其運營構成最大風險的系統和數據，并反向追溯攻擊路徑，將其擴展到供應鏈。

NIS2也強調了關鍵基礎設施的供應鏈風險。其風險管理要求包括加強供應鏈安全政策，盡管不如DORA具體。同樣，運營恢復力是主要目標，確保關鍵服務在受到攻擊時仍能持續運行。

我國出臺的《網絡安全法》《網絡安全審查辦法》《關鍵信息基礎設施安全保護條例》《軟件供應鏈安全防范指南》等法規，也對軟件供應鏈提出了諸多要求。其中，作為我國網絡安全領域的基礎性法律，《網絡安全法》明確了網絡產品和服務提供者的安全責任，包括禁止設置惡意程序、采取補救措施、告知報告義務等；同時強調關鍵信息基礎設施運營者在采購網絡產品和服務時需進行網絡安全審查，并優先選擇安全可信的產品和服務。

采用基于風險的供應鏈安全方法

從當前安全形勢來看，所有組織都面臨供應鏈漏洞的風險，并不存在針對供應鏈風險的萬能解決方案。

數字供應鏈由于其互聯系統、供應商和合作伙伴而容易受到網絡威脅。這條鏈中任何一個環節的入侵都可能導致敏感數據泄露、運營中斷，以及財務和聲譽損失。

為了解決數字供應鏈延伸部分的安全性問題，組織應采取全面的方法，包括風險評估和管理、供應商評估和選擇、持續監控和合規措施：

1. 風險評估和管理：確定并評估整個供應鏈中潛在的風險，包括所有供應商、合作伙伴和第三方供應商。評估這些風險的潛在影響和可能性。
2. 供應商評估和選擇：制定嚴格的標準來選擇供應商和合作伙伴，重點關注他們的安全標準、法規合規性和安全實踐。
3. 合同義務：在合同中加入安全條款，明確定義對安全措施、數據保護、事件響應和合規性的期望。
4. 持續監控：使用監控工具和流程來跟蹤供應商績效、檢測安全事件并驗證是否符合安全標準。持續監控應延伸到第三方、第四方和第n方供應商，以提供更大的可見性并實現早期漏洞檢測。
5. 數據加密：對傳輸和存儲的敏感數據進行加密，防止未經授權的訪問。
6. 訪問控制：在供應鏈內部實施嚴格的訪問控制和最小特權原則，限制對敏感信息和系統的訪問。實施基于角色的訪問控制(RBAC)，根據個人角色限制訪問。采用零信任方法，持續驗證用戶身份和訪問級別。
7. 事件響應計劃：制定并維護全面的事件響應計劃，其中包括針對供應鏈內安全入侵或中斷的具體程序。對于確認的事件，及時向客戶提供安全事件響應。
8. 培訓和意識：教育員工、供應商和合作伙伴了解網絡安全最佳實踐、防范網絡釣魚以及他們在維護供應鏈安全方面的角色。
9. 備份和恢復：定期備份關鍵數據，并制定健全的恢復計劃，以最大程度減少事件發生時的停機時間和數據損失。
10. 合規性和審計：通過定期審計和評估供應鏈安全實踐，確保符合相關法規和行業標準。
11. 安全政策：實施符合行業最佳實踐的安全政策，如ISO 27001、ISO 20243、SOC2和IEC 62443。這些政策應涵蓋訪問控制、安全教育、雇員驗證、加密、網絡隔離/分段、運營安全、物理安全和供應商管理。
12. 自動化：自動化供應商入職和評估流程，節省時間并減少錯誤。使用集中式平臺自動收集信息和評估，確保符合監管標準。
13. 將安全性融入產品/服務設計：產品和服務的設計應確保數據的機密性、真實性、完整性和可用性。數據應在整個生命周期內受到保護，防止未經授權訪問，并將安全性和隱私融入設計中。

組織還應了解新興法規和框架，如我國的軟件供應鏈安全防范指南及歐盟的DORA和NIS2等，它們強調供應鏈安全性，并要求企業對其網絡安全做法負責。

網絡韌性比預防更可行

防止攻擊事件只是一個理想的狀態，但并非總是可能。像臭名昭著的SolarWinds供應鏈攻擊那樣，惡意軟件通過已安裝的合法軟件傳播，這種情況非常難以阻止。

恢復力對于擴展數字供應鏈的安全至關重要，因為雖然網絡安全措施可以幫助預防數據泄露和惡意活動，但恢復力則側重于減輕攻擊的影響，并假設違規是不可避免的。擴展供應鏈帶來了復雜性和漏洞，使完全預防變得困難。

正如美國國家標準與技術研究院所言，現在問題不再僅僅是如何防止入侵，還包括如何降低攻擊者利用其獲取的信息的能力，以及如何從入侵事件中恢復。

因此，與預防相比，恢復力是一個更可行的目標。通過了解最大的威脅所在，組織可以優先考慮防御措施。采用像微分段等主動違規遏制措施，可以最小化網絡攻擊造成的損害，并確保業務連續性。

Dearing進一步解釋說，將環境劃分為安全區域，通過零信任實施嚴格的驗證流程，將為攻擊者利用可信第三方訪問網絡設置有效障礙。這樣，已進入系統的攻擊同樣無法輕易實現橫向移動來訪問關鍵資產。這可防止威脅分子和惡意軟件在網絡中自由移動，并支持DORA和NIS2所強調的靈活、務實的安全管理和基于風險的方法。

在當前日益嚴峻的網絡安全態勢下，“防反”并重“的思路已經不僅局限于供應鏈安全。瑞數信息CTO馬蔚彥就勒索軟件防護話題接受安全牛訪談時也提出類似觀點。他建議用戶在加強基礎防護能力的同時，優先構建反制能力，如勒索事件管理體系、系統備份、恢復能力、威脅檢測等，在預算允許的情況下，進一步提升防護能力，形成完整的防護閉環，從而守住底線，減少損失。

如此可見，面對日益擴展和復雜的數字供應鏈，我們不能再將網絡安全視為一個孤立的技術問題，而是要融入到商業運營和日常生活之中。一個供應鏈環節的疏漏，就可能引發連鎖反應，造成難以估量的損失。因此，供應鏈安全需要整個生態系統的通力合作，積極應對供應鏈中的每一個薄弱環節。特別是要建立起網絡恢復力，以確保在不可避免的入侵發生時，能夠盡快重建防線，將損失降至最低。