由 猿小六 供应链安全漏洞:《2022 年全球研究报告》收到了 1,300 多名具有供应链洞察力的 IT 专业人士的回复,其中 25% 的人指出,他们的组织在过去 12 个月内经历了供应链攻击。
受访者将这五个供应链风险列为他们的主要担忧:
- 勒索软件 (73%)
- 供应商信息安全实践不佳(66%)
- 软件安全漏洞 (65%)
- 第三方数据存储 (61%)
- 对信息系统、软件代码或 IP 有物理或虚拟访问权限的第三方服务提供商或供应商 (55%)
图片来源于 www.pexels.com
除此之外,30% 的受访者表示其组织的领导者对供应链信息安全风险没有足够的了解。只有 44% 的人表示他们对组织供应链的安全性有很高的信心,同样百分比的人对整个供应链的访问控制有很高的信心。
他们对未来前景也不乐观——53% 的人表示,他们预计未来六个月供应链问题将保持不变或恶化。
“我们的供应链一直很脆弱,但 COVID-19 大流行进一步揭示了它们在多大程度上面临多种因素的风险,包括安全威胁,” ISACA 前董事会主席、NACD 董事会领导研究员 Rob Clyde 和 White Cloud Security 董事会执行主席 说。“对于企业来说,花时间了解这种不断变化的风险格局,以及检查其组织内可能存在的需要优先考虑和解决的安全漏洞至关重要。”
在采取行动时,84% 的人表示他们的组织的供应链需要比目前得到更好地治理。近五分之一的人表示他们的供应商评估流程不包括网络安全和隐私评估。此外,39% 的企业没有与供应商制定网络安全事件的事件响应计划,60% 的企业没有与供应商协调和实施基于供应链的事件响应计划。近一半的受访者 (49%) 表示他们的组织没有对供应链进行漏洞扫描和渗透测试。
“管理供应链安全风险需要多管齐下的方法,需要与供应商密切合作,定期进行网络安全和隐私评估以及制定和协调事件响应计划,”IP Architects 总裁兼 ISACA 成员 John Pironti 说。“与您组织的供应商建立牢固的关系并建立持续的沟通渠道是确保审查、信息共享和补救顺利有效进行的关键部分。”
Pironti 描述了组织在努力加强其 IT 供应链安全时应采取的一些关键步骤:
- 你无法保护你不知道的东西。开发和维护供应商清单及其提供的能力。
- 要求披露开源软件组件。
- 对您业务的关键第三方进行威胁和漏洞分析。
- 为供应链合同创建技术和组织措施合同附录。
- 信任但要验证。对关键第三方进行基于证据的审查。
“为了提高数字信任度,需要对所有系统和供应商的安全性、完整性和可用性有一定程度的信心,”ISACA 首席执行官 David Samuelson 说。“正如我们从之前的事件中看到的那样,客户不会区分对供应链的攻击和对您自己系统的攻击。现在是采取迅速和有意义的行动来改善供应链安全和治理的时候了。”
要阅读完整的供应链安全差距报告并访问其他资源,请访问www.isaca.org/supply-chain-security。