上周三,英国国家网络安全中心 (NCSC) 发布了新的网络安全指南,帮助组织机构评估供应链的网络安全性并提振其信心。随着供应链攻击中不断增长,该指南应运而生。指南呼吁组织机构和供应商合作,识别弱点并提高防御弹性。

日益增多的供应链攻击

该指南与跨市场运营弹性小组 (CMORG) 协同发布,后者的主要职责是为金融行业运营弹性提供支持,不过该指南适用于任何行业中的组织机构。该指南旨在帮助大中企业评估与供应商合作的网络风险,确保它们已部署相关措施,缓解与供应商合作引发的关联漏洞。

NCSC发布的这份网络安全指南描述了供应链中的常见供应商关系、组织机构因供应链而面临的漏洞和网络攻击,并定义了帮助评估供应链网络安全方式的预期结果和关键步骤。该指南是对NCSC在2020年发布的供应链原则的补充。

供应链攻击造成的后果影响深远且成本高昂。然而,从英国发布的最新政府数据来看,仅有超过十分之一的企业在采购过程中审计了由当前供应商引发的风险,占比13%;而审计由更广范围供应链引发风险的企业占比约为7%。

NCSC的政府网络弹性副总监 Ian McCormack 指出,“供应链攻击是组织机构面临的主要网络威胁之一,网络安全事件可对企业和客户造成深远持久的影响。随着安全事件不断增长,组织机构和供应商共同识别供应链风险并确保部署适当的网络措施就显得很重要。我们发布的新指南将帮助组织机构将这一理念付诸于实践,评估供应链的安全性并有信心地和供应商安全地开展协作。”

英国网络事务大臣 Julia Lopez 指出,“英国规模不一的组织机构越来越多地依靠IT服务运营业务,因此确保这些技术的安全性十分重要。我在此督促企业遵循由我们领先世界的NCSC发布的专业指南。它将帮助企业保护自身及其客户增强供应链的网络安全性,免受网络攻击。”

McCormack 指出,该网络安全指南专为意欲设立(或改进)评估组织机构供应链网络安全方式的采购专家、风险管理人员和网络安全专业人员而发布。他表示,“可‘从零开始’应用该指南,或也可建立于可能正在使用的任何现有风险管理技术和方法之上。”

供应链的互联性和分散性导致人们难以了解供应商如何管理和维护其网络安全性。近年来,因供应链漏洞而导致的网络攻击数量急剧增长。这些攻击为受影响组织机构及其供应链和客户造成的后果破坏性大、成本高昂且影响持久。

NCSC 认为,资源有限的组织机构可能面临多种挑战,如对不良供应链网络安全性所施加的风险认知不足或理解不深、缺少在抵御供应链风险方面的投资、对供应链的可见性有限、对供应商网络安全性的工具和专业性评估不充分,以及不清楚应当对供应商提出何种要求。

五个阶段及其关键步骤

该指南分为五个阶段,且每个阶段都具有关键步骤。

第一阶段,赋能组织机构,使其了解所在组织机构的网络安全风险管理方式。

第一阶段的预期结果是:

1、基于与供应商之间的关系性质以及供应商对组织机构系统和服务的访问权限,更好地了解组织机构面临的供应链威胁;

2、增强对组织机构内现有风险偏好和流程的理解;

3、获得高层支持,进行改变以建立或改进供应链的网络安全性;以及

4、组建团队,形成评估供应链网络安全性的新方法。

这一阶段的关键步骤是

1、了解所在组织机构为何应当关注供应链的网络安全性

2、 识别组织机构中的关键部分

3、了解所在组织机构的风险评估方式

第二个阶段,形成评估供应链网络安全性的方法。理解和优先处理组织机构的关注点,并为所形成的方法创建关键组件。这一阶段又分为两个子阶段。

第一个子阶段是优先处理所在机构的“御宝”即组织机构中最需要防护的关键部分,考虑潜在威胁、漏洞、影响和组织机构的风险偏好。

这一子阶段的预期结果是:

清楚地了解所在组织机构的关键部分,所依赖标准是判断保护这些关键部分需要从供应商处获得何种保证。要实现这一点,需要考虑每个供应商能够访问的资源情况。

第二个子阶段是为所形成的方法创建关键组件。创建一种可持续的、一致的供应商网络安全评估方法。

这一子阶段的预期结果是:

1、建立“安全介绍资料”,明确每份介绍应当满足的最低网络安全要求;

2、提出问题,判断每个供应商安全介绍的情况;

3、评估每个供应商要求的工件;

4、建立供应商安全管理计划,追踪网络安全要求的合规性;以及

5、设置标准的合同条款(与网络安全相关),写到合同中。

这一子阶段的关键步骤是:

1、创建“安全介绍资料”,

2、判断每个供应商安全介绍的情况

3、明确每份安全介绍应当满足的最低网络安全要求

4、判断如何评估供应商

5、非合规性规划

6、创建合同条款

第三个阶段,将该方法应用到新的供应商关系中。在新供应商的整个合同生命周期内,即从采购、供应商选型到购买过程,嵌入新的安全实践。

该阶段的预期结果是:

1、在购买流程中嵌入网络安全实践,获得经过由网络安全培训的专业人员组成的多领域团队的支持;

2、提高员工的供应链威胁意识;以及

3、参照所定义矩阵来定期衡量员工表现,并对委员会成员可见。

这一阶段的关键步骤是:

1、教育团队

2、在合同存续期间加入网络安全控制

3、监控供应商在安全方面的表现

4、向NCSC委员会报告进展

第四个阶段,将该方法集成到现有的供应商合同中。在合同更新时或在更早时候就关键供应商所关心的方面,通过该新方法对现有合同进行审计。

这一阶段的预期结果是:

1、记录所有供应商;

2、参照所定义的安全控制对“高优先级”供应商进行风险评估;

3、识别具有安全缺陷的供应商,形成改进其安全性的计划;

4、对照所定义的矩阵,改进该方法;以及

5、定期衡量基于从该活动和表现学到的经验,且对委员会成员可见。

该阶段的关键步骤是:

1、识别现有合同

2、评估风险并对合同进行优先级排序

3、对供应商提供支持

4、审计合同条款

5、监控供应商安全表现

6、向NCSC委员会汇报进展情况

第五个即最后一个阶段,持续改进该方法。基于新出现的问题,定期优化所形成的的方法,降低风险经由供应链引入组织机构中的可能性。

该阶段的预期结果是:建立可持续改进的基础。

这一阶段的关键步骤是:

1、定期评估该方法及其组件

2、持续了解不断演进的威胁并相应更新实践

3、与供应商进行协作

供应链安全引发全球关注

除了发布旨在改进供应链网络弹性的网络安全指南外,NCSC还发布一系列旨在帮助组织机构改进自身网络安全性的建议,包括为大型企业颁发的达成网络安全的十大步骤指南,以及为中小企业制定的小企业指南等。

供应链攻击已受到全球各国政府的关注。上个月,美国管理和预算办公室发布了旨在通过软件安全开发实践提高软件供应链安全性的备忘录。该备忘录建立于美国总统拜登在2021年5月发布的14028号行政令。

在此之前,今年7月份,新加坡网络安全局 (CSA) 发布了关键信息基础设施 (CII) 供应链计划书,成为CSA、行业领导、CIIO(关键信息基础设施所有人)和厂商的行动蓝图,他们据此将网络安全性和弹性构建于CII供应链中,以应对不断演变的威胁局势和不断增多的数字化。

原文链接

https://industrialcyber.co/supply-chain-security/rise-in-supply-chain-cyber-attacks-pushes-uks-ncsc-to-issue-fresh-cybersecurity-guidance/

https://www.ncsc.gov.uk/collection/assess-supply-chain-cyber-security

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。