新闻详情

News

《2024供应链安全态势报告》发布,安全治理压力大
新闻动态
2024-06-05

随着全球化和数字化的快速发展,供应链已成为企业运营的关键环节,其安全状况直接影响到企业的运营效能、品牌形象以及经济效益。然而,近年来供应链攻击事件频发,不仅对单个企业造成严重冲击,也对全球经济安全构成了显著威胁。

近日,《2024供应链安全态势报告》发布,旨在探讨当前供应链安全的发展态势、存在的安全风险、供应链攻击的典型特征及其对整个网络安全行业造成的影响。

《报告》指出,供应链攻击正呈现出隐蔽性高且潜伏期长,逐步进行深入渗透;影响范围广泛;利用信任与依赖关系,难以预防;技术手段高超,攻击者往往是有实力的幕后组织或个人等显著特点。一旦发生攻击事件,往往对整个产业链造成连锁反应。从制造业到金融业,从医疗健康到信息技术,无一幸免。这些攻击不仅导致经济损失,还可能引发信任危机,损害企业声誉,甚至对社会稳定和国家安全构成威胁。所以供应链安全管理至关重要,关乎企业稳定运营和国家经济安全,必须严阵以待。

供应链安全治理压力大

合规要求提升

近年来,国家层面高度重视供应链安全问题,不断建立健全相关法律法规、标准制度,面临日益严峻的合规性压力。《网络安全法》《网络安全审查办法》和《关键信息基础设施安全保护条例》针对供应链安全提出了要求,包括对可能影响国家安全的设施进行安全审查、网络产品和服务提供者应配合审查并承诺避免危及供应链安全的行为、安全审查时考虑供应链风险方面的因素、优先采购安全可信的网络产品和服务、与提供者签署协议等。

安全事件持续高发

近年来,供应链攻击的发生频率呈明显增长趋势,攻击者利用供应链网络固有的复杂性和互联性,通过恶意软件植入、代码篡改、供应链流程破坏等方式,实现了对目标组织的深度渗透和控制。根据数据调查,仅从 2014 年第一季度来看,就已经监测到了近 20 起有影响力的攻击案例,其中多起攻击活动通过冒充或修改流行 PYPI 软件包,进而利用软件供应链传播信息窃取软件或挖矿软件等进行攻击。以下是近几年一系列标志性的供应链攻击事件:

2024年3月,微软开发人员在liblzma/xz工具和动态库中发现一个涉及混淆恶意代码的供应链攻击。

2023年12月,黑客团伙借助微软应用商店进行7ZIP软件供应链投毒。

2023年10月,身份安全公司Okta遭黑客攻击,市值蒸发20亿。

2023年3月,3CX企业级电话管理系统供应商遭遇供应链攻击。

2022年3月,黑客针对NPM存储库,发布近800个恶意NPM包。

2021年11月,Log4j漏洞影响全球多个服务供应商。

供应链安全管理中存在诸多问题

在这种背景下必须构建起一套坚固的供应链安全管理体系,以应对日益增长的合规要求及复杂的供应链安全威胁。然而,在迈向这一目标的过程中,供应链安全管理暴露出了一系列亟待解决的问题与挑战。供应关系复杂,管理难度大

涉及供应商数量众多,且可能存在层层转包的现象,运营者难以理清供应关系,透明度低,供应链安全管理难度大。管理制度不完善,安全评估缺失

缺乏可落地的供应链安全管理体系,缺少对供应链安全管理的有效手段和措施,如软件供应链安全评估、软件供应商安全检查等。重视程度不够,干系人管理不到位

往往更加注重通过技术手段保护软件安全,对为其提供设计、建设、运维、技术服务的供应商和人员的服务过程安全管理不足。

开源依赖严重,漏洞风险较大

软件开发大量引入开源和第三方组件,供应商缺少产品安全开发流程、产品安全漏洞快速响应机制、供应链安全风险监测机制等,导致无法及时处置供应链安全风险。

多规管理融合助力打造网络安全综合防御体系

面对日益严峻的供应链安全风险隐患和日益严格的合规需求,道普信息第三方风险管控专家提出,通过供应链安全管控来有效应对安全威胁,满足监管要求。

image.png

供应链安全管控服务全景图

1.摸现状

摸清监管单位、建设单位、承建单位的供应链安全现状。包含区域监管部门要求、本单位软件供应链关系、供应链安全管理体系、供应链安全技术措施等。

1717554018(1).jpg

2.做评估

开展供应链安全能力评估,包含设立指标、数据采集、差距分析、风险评估、整改建议等阶段,全方位评估服务对象供应链管理能力。

image.png

云服务供应链管理能力评估方案

image.png


软件供应链管理能力评估方案

3.建制度


协助服务对象完善软件供应链安全管理体系,从立项、采购、实施、验收、运维等阶段建立或完善管理制度、规范等。

image.png

4.常监控

常态化开展供应链安全检测及监督工作,可定期开展针对软件层面的攻防演练、软件上线检测、开源软件漏洞检测、人员安全意识培训、供应链专项监督检查等。

供应链安全已成为当今企业及全社会亟待关注和解决的重要课题。《2024供应链安全态势报告》的发布,不仅是对当前供应链安全形势的一次深刻剖析,更是推动我国数字经济健康发展的重要催化剂。只有通过深入了解供应链安全风险及当前供链攻击的特点,构建全面立体的防御体系,并积极推动供应链安全的行业规范和标准化,才能有效防范和应对供应链攻击,保障企业和国家经济的健康稳定发展。