因此,供应管理在防范网络攻击方面发挥着至关重要的作用。网络安全必须融入供应商选择流程,并且供应商在网络安全方面的持续发展必不可少。毕竟,在当今数字化互联的环境中,无论企业自身的防御水平如何,它们仍然容易受到来自其供应链的网络攻击。在这方面,供应经理必须在网络安全方面发挥领导作用,以与面对其他关键业务问题时相同的方式协调其供应链。
与实体产品一样,大多数软件产品并非由单一供应商制造。它们由多个模块组成,可能由子级模块组成,形成“软件供应链”。嵌入软件供应链的公司面临着与传统供应链类似的挑战。虽然 最近的研究 一致表明,很大一部分软件模块依赖于其供应链中的易受攻击的组件,但很难绘制出第一级供应商/模块以下的软件供应链的构成以及软件供应链如何随时间演变。当黑客利用软件供应链中低级供应商/模块的漏洞时,这一挑战变得更加严峻。
例如,2021 年,Log4J 是一款鲜为人知但广泛使用的记录计算机系统活 波兰电子邮件列表 动的软件,该软件 通过一个安全漏洞被利用 ,允许恶意攻击者在不使用有效密码的情况下侵入系统。数字商品本质上可以从外部轻松即时访问。随着新漏洞的披露,黑客可能会在漏洞得到解决之前利用它们。除非这些问题得到解决,否则供应链中使用易受攻击模块的软件产品仍面临网络攻击的风险。
最新进展和最佳实践
为了应对日益上升的网络攻击风险,政府机构和行业组织已经制定了供应链经理应该采用的框架。
与传统的物料清单做法类似, 软件物料清单 (SBOM) 详细说明了产品所需的软件模块。这有助于组织了解其软件中的组件,从而更好地跟踪潜在漏洞并对软件供应链中出现的问题做出响应性调解。
政府层面也在努力创建管理供应链网络安全的标准化框架。例如,美国国家标准与技术研究院 (NIST) 发布了 网络安全供应链风险管理 框架,强调了该问题的重要性,并提供了一种系统性方法来帮助企业考虑供应链网络安全所涉及的因素。
除了技术工具之外,管理层对潜在网络安全问题的关注也至关重要。随着黑客和防御者的互动,网络攻击策略也在不断演变,这意味着不可能存在永久的解决方案。跨组织边界的集体和响应行动可以减轻潜在网络安全风险的影响。例如,尽管 log4j 漏洞非常严重,但许多公司和社区都积极主动地集体解决该问题,有效地将影响降到最低。