确保供应链安全的策略
美国国家标准与技术研究院(NIST)正在编写一份旨在降低供应链网络安全风险的出版物。
降低全球供应链的网络安全风险是美国国家标准与技术研究院(NIST)一份新出版物的目标。网络供应链风险管理的关键实践(草案nstir 8276)提供了一套策略,以帮助企业解决现代信息和通信技术产品所带来的网络安全问题,这些产品通常使用第三方组织提供的组件和服务构建。这些设备和系统的组合特性使得它们难以有效地防范恶意软件和其他威胁,将制造商、服务提供商和最终用户置于风险之中。
NIST的Jon Boyens是报告草稿的作者之一,他说:“问题的根源在于如今一切都是相互关联的。”“产品非常复杂,随着我们的全球化经济,公司经常将开发组件和代码的任务外包给其他公司,涉及多层供应商。”
网络供应链是一个复杂的连接网络,而不是一条单链,其中的漏洞不仅涉及微芯片及其内部代码,还涉及设备的支持软件以及能够访问其组件的其他公司。把所有这些放在一起,预测坏人可能试图利用的每一个弱点可能是一项艰巨的任务。
最近的网络入侵最终与供应链风险有关。
据估计,2018年下半年发生的一次备受瞩目的攻击——影子锤行动(Operation shadowwhammer)——影响了多达100万用户。2013年,蜻蜓组织的攻击目标是拥有工业控制系统的公司,比如在美国境内分配能源的公司。这次攻击用恶意软件感染了关键行业的公司。赛门铁克2019年互联网安全威胁报告发现,2018年供应链攻击增加了78%。
NIST报告是一份高级文件,旨在易于理解并应用于管理这些风险。它的核心是一个27页的章节,概述了八个已被证明有用的关键实践,从建立正式的风险管理计划到与主要供应商密切合作。每个关键实践都伴随着一组建议,并且由于每个组织都有自己的特定需求,因此作者还包含了如何应用这些建议的指导。
承认不同经济部门的公司可能以不同的方式管理供应链风险,作者还提供了一组24个风险管理案例研究,其中包括从航空航天和IT制造商到消费品公司的各种业务。
“许多公司都有相同的供应商,但他们的整体供应链仍然非常不同,”Boyens说。“为了补充我们的报告,你可以寻找与你所在行业相关的案例研究。”
在NIST发布计划于2020年春季发布的最终版本之前,将考虑公众意见。
本内容最初出现在ISSSource.com.ISSSource是CFE Media的内容合作伙伴。CFE Media副主编Chris Vavra编辑cvavra@cfemedia.com.
原创内容可在isssource.com.
您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献,并获得您和您的公司应得的认可。点击在这里开始这个过程。
