网络供应链风险管理的主要实践： 行业观察 Jon Boyens Celia Paulsen Computer Security Division Information Technology Laboratory Nadya Bartol Kris Winkler James Gimbi Boston Consulting Group New York, NY This publication is available free of charge from: https://d oi.org/10.6028/NIST.IR.8276 February 2021 2021 -4-8 翻译 樊山 鹰眼翻译 社区 执行摘要 美国国家标准技术研究院（ NIST）的网络供应链风险管理（ C-SCRM）计划于 2008 年启动，以针对非国家安全系统开发 C-SCRM做法，响应国家综合网络安全倡议 （CNCI）＃11： 为全球供应链风险管理制定多管齐下的方法。 在过去的十年中， NIST继续开发出版物，并对 C-SCRM的行业最佳实践进行进一步的研究。本文档 介绍了2015年和2019年进行的研究得出的关键实践和建议，包括专家访谈，案 例研究的开发以及 对现有政府和行业资源的分析。 本文档中介绍的关键实践可用于在任何规模， 范围或复杂性的组织中实施强大的 C-SCRM程序或功能。这些 做法将现有 C-SCRM政府和行业资源中包含的信息与 2015年和2019年NIST研究计划中收集的信息结合在一起。关键实践是： 1. 将C-SCRM整合到整个组织 2. 建立正式的 C-SCRM计划 3. 认识和管理关键供应商 4. 了解组织的供应链 5. 与主要供应商紧密合作 6. 将主要供应商纳入弹性和改进活动中 7. 评估和监控整个供应商关系 8. 规划整个生命周期 每个关键实践都包含大量建议，这些建议综合了从人员，流程和技术 的角度来看 如何实施这些实践。 选定的主要建议包括： ⚫ 为供应链，网络安全，产品安全，物理安全和其他相关功能创建明确的 协作角色，结构和 流程。 ⚫ 将网络安全考虑因素整合到系统和产品生命周期中。 ⚫ 通过使用行业标准和最佳实践来确定供应商的重要性。 ⚫ 指导和辅导供应商以改善其网络安全实践。 ⚫ 将主要供应商纳入应急计划（ CP） ，事件响应（ IR）和灾难恢复（ DR）计 划和测试中。 ⚫ 使用第三方评估，现场访问和正式认证来评估关键供应商。 这些建议和其他一些建议被映射到每个关键实践中， 以协助和支持组织内有效的 C-SCRM实践的实施。其他 C-SCRM资源，包括特定于行业 的最佳实践，可在附录 B，政府和行业资源中找到。 1引言 如今，组织越来越依赖各种供应商来支持组织的关键职能。 在过去的十年中，这 种趋势已经加速，并且有望继续加速。全球化，外包和数字化推动了这一趋势。 供应商拥有自己的供应商，而 这些供应商又拥有自己的 其他供应商，从而建立了 扩展的供应链和整个供应生态系统。所有组织都依赖于获取产品和服务，并且大 多数组织还向其他组织提供产品和服务。 除了日益复杂的供应链和针对供应商和 收购方网络的网络威胁参与者之外，其他外部事件（例如恶劣天气和地缘政治动 荡）继续威胁着供应链。这些威胁共同提高了供应链弹性，业务连续性和灾难恢 复计划的重要性。 最近发生的许多数据泄露事件都与供应链风险有关。 例如，在 2018年下半年发 生的备受瞩目的攻击行动 ShadowHammer 破坏了一家全球计算机制造商使用的更 新实用程序。1受到破坏的软件通过制造商的官方网站提供给用户，据估计，该软 件在被发现之前已经影响了多达 100万用户。这让人想起了始于 2013年的 Dragonfly 小组针对工业控制系统的攻击。2该小组成功地将恶意软件插入了可通 过制造商的网站下载的软件中， 从而导致了能源等关键行业的 公司受到此恶意软 件的影响。 这些事件不是孤立事件。最近的许多报告表明，这些攻击的 频率正在增加。 Carbon Black 在2019年4月发布的《事件响应威胁报告》中强调指出，有 50％ 的攻击使用了 “孤岛跳动 (island hopping )”。3跳岛是一种攻击，其着重不仅 1https://securelist.com/operation -shadowhammer -a-high-profile -supply -chain -attack/90380/ 2https://www.symant ec.com/content/en/us/enterprise/media/security_response/whitepapers/Dragonfly_Thr eat_Against_Western_ Energy_Suppliers.pdf 3https://www.carbonblack.c om/wp -content/uploads/2019/04/carbon -black -quarterly -incident -response - threat -report -april2019.p 影响受害者，而且影响其客户和合作伙伴，尤其是在这些合作伙伴具有网络互连 的情况下。赛门铁克的《 2019年安全威胁报告》发现，供应链攻击在 2018年增 加了78％.4也许更令人担忧的是， 这些攻击中的很多似乎都成功并造成了严重破 坏。由Ponemon I nstitute 于2018年11月进行的一项研究，即 “第三方生态系 统中的数 据风险”发现，接受调查的公司中有 59％经历了由第三方之一造成的 数据泄露 .5 Crowdstrike 于2018年7月进行的一项调查发现了软件供应链更加 脆弱，有 66％的受访者报告了软件供应链攻击，其中 90％的人因攻击而面临财 务影响。6 数字化与依赖供应商支持关键功能的结合产生了组织正在学习管理的众多网络 安全风险。 组织已经为应对这一挑战进行了一段时间的努力，但是许多组织仍在 努力认识这一挑战， 决定如何应对并开始工作。 例如， Crowdstrik e调查中有 90％ 的受访者表示，他们认为自己有遭受供应链攻击的风险，并认为审核软件供应商 是一项至关重要的活动，但实际上只有 33％的人这样做。此外，在 Ponemon Institute 研究中，有 76％的受访者承认涉及供应商的网络安全事件正在增加， 但只有46％的受访者表示，管理这些风险是当务之急，只有 35％的受访者认为 其第三方风险管理计划非常有效。 美国国家标准技术研究院（ NIST）一直在研究这些类型的网络安全事件， 在10 多年的历史 中针对该主题发布指南，研究结果和工具。 NIST关于此主题的出版 物包括： ⚫ NISTIR 7622，《联邦信息系统供应链风险管理实践 概念》，2012年[NISTIR 7622] ⚫ NIST特别出版物（ SP）800-161， 《联邦信息系统和组织的供应链风险管 理规范》 ， 2015年[SP 800-161] ⚫ NIST SP 800 -37修订版2，《信息系统和组织的风险管理框架 》，2018年 [SP800-37] 4 https:// www.symantec.com/security -center/threat -report 5 https://www.businesswire.com/news/home/20181115005665/en/Opus -Ponemon -Institute -Announce - Results -2018-Third -Party 6 https://www.crowdstrike.com/blog/global -survey -reveals -supply -chain -as-a-rising -and-critica l-new- threat -vector/ ⚫ NIST SP 800 -53，修订版 5，《信息系统和组织的安全和隐 私控制》，2020 年[SP 800-53] ◼ 相关控件和控件增强功能包括： ◆ 供应链风险管理控制族（ SR） ◆ 供应链风险管理策略（ PM-30） ◆ 关键或任务必不可少的物品的供应商（ PM-30（1）） ◆ 综合态势感知（ SI-4（17）） ◆ 外部系统服务（ SA-9） ◆ 采购流程（ SA-4） ◆ 供应链风险评估（ RA-3（1）） ◆ 关键度分析（ RA-9） ◆ 事件处理 –供应链协调（ IR-4（10）） ◆ 事件报告 –供应链协调（ IR-6（3）） ◆ 受控维护（ MA-2） ◆ 防篡改（ PE-3（5）） ⚫ NIST《网络供应链风险管理站点 》[NIST C-SCRM]：77上的案例研究，简 介文件和其他资源 ◼ 案例研究： 《网络供应链风险管理最佳实践 》，2015年 ◼ 供应商选择和管理的最佳实 践 ◼ 网络供应链风险管理业务案例 ◼ 网络供应链风险管理的组织策略 ◼ 网络供应链标准映射和路线图 ◼ 网络供应链最佳实践 ⚫ 国家标准与技术研究院 （ 2018） ， 用于改善关键基础设施网络安全的框架， 版本1.1。 [NIST CSF] 如今， 应对由扩展的供应链和供应生态系统引起的网络安全风险的学科