现代供应链是全球物资和服务穿流交错的复杂而又脆弱的网络。可以毫不夸张地说,供应链是我们经济赖以为生的命脉,是我们生活的基础,确保了我们有东西可吃,有能源可用,保障了我们的医疗健康和银行里的财产安全。但供应链存在一个问题:网络罪犯和国家级黑客已经发现这里面充满了可供利用的漏洞。
因此,英国国家网络安全中心(NCSC)最近指出,供应链被黑是英国公司面临的最大威胁之一。如果攻击者通过供应链中最有价值的部分入侵其既定受害者,该如何缓解此风险呢?答案就是:培训你的雇员,强化整个供应链。
数字世界
我们的世界越来越数字化,黑客也越来越精于在互联网匿名性掩盖下随意远程探测和攻击我们。2017年英国公司遭受的网络攻击数量达到历史新高,全球网络犯罪非法获利大概在1.5万亿美元左右。在供应链作为关键角色的制造业,近乎一半的英国公司经历过重大网络攻击。
供应链攻击形式多样。可以是对合作伙伴公司的雇员进行网络钓鱼获取本公司登录凭证,比如近几年影响最重大的两起数据泄露:美国零售商塔吉特百货和美国人事管理局(OPM)数据泄露事件,就是经由合作公司失窃的登录凭证。也可以是往合法软件中植入恶意软件,比如著名的NotPetya勒索软件,就是乌克兰流行会计软件M.E.Doc被感染而引起的。出乎意料的是,NotPetya在全球扩散,中断了马士基和TNT这种国际航运和物流公司关键IT系统时,对全球供应链产生了计划外的深远影响,凸显出我们的供应链依赖是有多么不稳定。
NCSC和美国相关机构的最新情报宣称,俄罗斯黑客仍在努力攻克供应链的某些部分。据最新警报,他们通过入侵全球网络基础设施设备来盗取IP和实现关键基础设施目标驻留。
问题多多
供应链攻击的影响当然各行各业不同。正如上述几个例子中揭示的,有可能造成知识产权窃取,也有可能提升国家安全风险和激化地缘政治紧张局势。商业世界里,供应链攻击可能导致竞争优势丧失和严重的财务及信誉责任。如今,数据泄露事件的平均损失在360万美元左右,但有些攻击可招致高得多的损失,尤其是对那些发售有形产品和服务的公司而言。
Equifax去年就因数据泄露而大出血了4.39亿英镑,而马士基和TNT则都公开报告了约3亿美元的NotPetya所致物质损失。除了这些报告出来的大笔数字,初始报告之后一直持续的事件响应和恢复工作也有相应的持续内部损耗;更不用说此类公开报告还略去了对其他人因这些公司无法服务其客户和合作伙伴而肯定会受到的下游服务中断的级联影响。
NCSC对供应链攻击做了个总结:
如果做得好的话,供应链攻击是很难被检测出来的,有时候甚至是完全不可能被发现。网络监视能检测出异常或可疑行为,但依然难以确定安全漏洞是有意引入的(可能是作为后门),还是来自开发人员或制造商的无意疏忽,或者其实是为了证明有潜在的访问凭证被利用了。
于是,应该做些什么来防止供应链攻击呢?
以人为本
技术和安全框架很重要,可以提供发现并封锁攻击的方法,帮助公司企业建立贯穿整个供应链的统一风险视图。 ISO/IEC 27000 系列标准可作为基础信息安全操作的起点。其他国际上承认的行业标准和操作也很有用,比如 IEC 62443 和 NIST 800-82 工控系统安全指南。另外,涵盖更广的NIST网络安全框架(CSF)描述了一种基于风险的主动性方法,可以帮助公司企业评估和缓解其IT及OT系统所面临的安全风险。
然而,仅靠技术手段和安全框架是无法保卫我们脆弱的供应链的。即便物联网新时代带来了机器到机器的自动化世界,保护供应链关键操作和过程的核心,依然是人。
一方面,只要公司雇员或供应链合作伙伴雇员继续沦为网络钓鱼攻击的受害者,那世界上最智能的安全工具都帮不了你。威瑞森最新《数据泄露调查报告》揭示,去年的数据泄露事件中,有93%之多都出现了网络钓鱼的身影。另外,以粗心大意的雇员为主导的内部人威胁,导致了28%的数据泄露事件发生。
意识、教育和培训,可以让雇员为公司及供应链合作伙伴的安全态势带来非常积极的影响。不妨通过各种渠道设置补充培训项目,改善供应链中每一个环节的安全状况。眼下或许还被视为主要安全风险的人,只要有了正确的方法,也会转变为强有力的第一道防线,有助于构筑和测试响应计划,在威胁演变为重大事件之前就识别出来,并在攻击已侵入的情况下提升恢复速度。
经过培训的员工就是有了能力加持的员工。有了经过安全教育的人在需要的时候做出正确决策,你便有了在虚拟的安全及能力链中保护自家公司及上下游公司的能力。这是仅使用各种工具所不能得的超高投资回报。
相关阅读
数字化供应链带来的机遇与挑战——“第三方数字合作伙伴”新角色
