当地时间4月1日,美国国家反情报与安全中心 (NCSC) 及其政府和行业合作伙伴推出第4次“国家供应链安全完整性之月(National Supply Chain Integrity Month)”活动,呼吁国内组织机构采取措施,增强对抗国外竞争对手及其它潜在风险的能力。
据介绍,NCSC 是位于国家情报总监办公室内的中心,是美国反情报和安全专业知识的主要来源,也是保护美国免受外国和其它对抗性威胁的可信赖任务合作伙伴。
在整个4月,NCSC 携手美国国土安全部网络安全和基础设施安全局 (CISA)、联邦通信委员会 (FCC)、国防部卓越安全发展中心 (CDSE)、美国国家采购官员协会 (NASPO) 和国家县级协会 (NACo) 和其它合作伙伴提高美国供应链威胁意识并共享风险缓解信息。这些合作伙伴将联合政府、行业和学术界的利益相关者规划一系列公开和非公开活动,增强供应链风险管理。
NCSC 代理总监 Michael Orlando 指出,“如果新冠肺炎疫情和因此而导致的产品短缺还不足以唤醒我们,那么最近针对美国行业和政府的软件供应链攻击应当被视为行动号角。我们必须增强供应链的弹性、多样性和安全性。这关乎国家的生死存亡。”
为了帮助行业和政府利益相关者更好地应对这一风险,NCSC 在专门的供应链网站上发布了新的供应链风险管理资源。其中,该网页提供了大量关于供应链威胁和最佳实践的信息,以及相关合作伙伴机构提供的资源。另外,NCSC 还将在本月为信息和通信技术 (ICT) 行业、制造和生产行业、医疗行业和能源行业的供应链风险管理提供行业指南。
外国对手对美国供应链的利用
报道指出,虽然生产短缺、贸易摩擦、自然灾害和其它不可预知的活动都对美国的全球供应链带来压力,但外国对手利用美国供应链中漏洞的行为带来了不同的反情报和安全威胁。
报道指出,外国对手正在不断利用企业和受信任供应链当作攻击向量,实施间谍、信息盗取和勒索活动。为此,这些对手攻陷美国政府和行业赖以生存的产品和服务,导致知识财产、工作、经济优势和军队优势消失殆尽。
例如,在过去十年中,国家黑客攻陷软件和信息安全服务供应链窃取知识财产、实施间谍和勒索活动。虽然最近发生的 SolarWinds 事件让软件供应链攻击获得更高的公众关注度,但实际上它不过是最近几年新发生的此类攻击之一。比如,2月份,美国指责朝鲜军队黑客实施网络犯罪活动,经由软件供应链攻击窃取密币;去年10月份,六名俄罗斯军队情报人员被指发动多起网络犯罪活动如2017年发动的 NotPetya 软件供应链攻击,为全球银行、商业、公共事业和物流行业造成数十亿美元的损失。
NCSC 指出,软件供应链攻击尤为隐秘而危险,因为它破坏的是消费者和软件提供商之间的基本信任。消费者正确地适应了仅使用源自授权厂商受信任来源的软件,并立即安装开发人员发布的安全更新。但当下,消费者必须警惕甚至执行这些基本的网络清理任务,因为授权资源可能已失陷。
供应链风险管理基础
虽然不存在解决国家供应链风险的灵丹妙药,但NCSC 建议组织机构最少要考虑如下基本原则,以增强供应链弹性。
-
使供应链多样化。产品或服务的单一来源意味着单一故障点。使供应链多样化,确保供应商失陷、出现短缺或其它破坏情况时能够弹性应对。
-
缓解第三方风险。开展严格的供应商尽职调查,了解其安全实践并设立最低标准。将安全要求纳入第三方合同并监控产品或服务生命周期的合规性。
-
识别并找到核心资产。绘制核心资产的位置和状态并优先保护它们。监控系统和网络性能,将破坏的影响力降到最低。
-
确保管理层的投入。指定一名高管作为供应链风险的所有人,并让企业的所有利益相关者参与风险缓解项目。开展组织范围内的沟通,确保接受并建立培训和意识提高项目。
-
加强合作伙伴关系。政府和行业就当前威胁信息和安全最佳实践交换信息,这一点非常重要。
原文链接
https://www.dni.gov/index.php/ncsc-newsroom/item/2200-ncsc-and-partners-launch-national-supply-chain-integrity-month-in-april-a-call-to-action-campaign-to-raise-awareness-of-supply-chain-threats-and-mitigation
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。