切莫讓供應鏈成為網路中最薄弱的環節

近年來，中國供應鏈市場發展迅速，並呈現出巨大潛力。據前瞻產業研究院《2016-2020年中國供應鏈管理服務行業市場前瞻與商業模式分析報告》顯示，2015年，中國物流及供應鏈相關總支出約14815億美元，其中物流及供應鏈成本佔GDP的比重為15%。同時，70%的物流及供應鏈外包服務提供商年均業務增幅高於20%。

另一方面，隨著中國供應鏈市場的繁榮發展，第三方供應商持續遭到網路攻擊威脅，致使企業安全網路環境受到破壞。究其原因，是企業無法對供應鏈夥伴所使用的安全措施實現持續控制，無法預知潛在威脅，也缺少足夠的資源來實施高規格安全管理，這就使得供應鏈發展成為網路中最薄弱的環節。網路攻擊者會優先滲透進供應鏈合作方，然後再尋找機會攻擊企業。Palo Alto Networks(派拓網路)認為，企業及其合作伙伴需要充分認識這一風險，並採取行動相互保護。

Palo Alto Networks(派拓網路)大中華區總裁陳文俊

軟體供應鏈攻擊往往是毀滅性的，因為它破壞了軟體供應商與消費者之間的最基本信任。攻擊者通常會避開傳統網路防禦系統，對軟體及其交付流程發起攻擊，從而藉助一次攻擊破壞多個系統。使用這些受損軟體的企業可能被勒索軟體攻擊劫持，丟失寶貴的專利資訊並遭受商業損失。

企業之間的連線性日益緊密，這種連線性在為企業帶來商業利益的同時，也帶來了安全風險。網路犯罪分子非常瞭解這些連線，並會利用它們訪問那些保護不佳的網路，供應鏈中涉及的企業之所以被攻擊者鎖定，是因為他們通常無法預知潛在威脅，也缺少足夠的資源來實施高規格安全管理。網路攻擊者會優先選擇小型企業，在系統潛伏多年後攻擊企業薄弱點。

在當今物聯網，數字貿易關係，以及機器人流程自動化領域，可形成破壞的網路漏洞大幅增加。企業雖已經準備好相應安全工具並已採取相應防護措施，但仍需諮詢供應商，以及供應商的供應商，進而確保整個供應鏈裡的各家廠商都採用統一的保護等級。

有鑑於此，全球網路安全領導企業Palo Alto Networks(派拓網路)推薦以下三種方法來確保供應鏈安全無虞，包括：

1. 審查內部和外部安全流程：企業應審查內部以及供應商和合作夥伴的基礎設施架構。雖然企業內部系統可能採取了強大的安全措施來阻截各種直接攻擊，但第三方合作伙伴卻不一定遵循相同的嚴格標準。因此，企業在將供應商完全整合至內部基礎架構之前，需優先實施供應商審查計劃。

2. 制定書面安全指南和控制措施：網路犯罪分子可以使用供應商的網站來託管惡意軟體。因此，無論供應商是否有高階網路安全技術資源，企業都應儘量要求他們遵循相關流程和協議，以便最大限度地降低產生此類攻擊漏洞的可能性。企業可在書面協議中要求供應商及時通告其內部所有安全事件，並定期提交安全報告以確定其網路安全狀態。

3. 對員工和供應商進行最佳安全實踐培訓/分享：技術至關重要，但人為失誤仍然是造成當前資料洩露的頭號原因。IBM最新《網路安全情報索引》顯示95%的安全事件都是人為失誤造成，從點選連結、釣魚郵件到瀏覽不良網站等不同來源感染病毒，進而成為其他高階持續性威脅(APT)的攻擊物件。

企業必須對所有員工進行最佳安全實踐培訓，以幫助他們更好地識別潛在攻擊。此外，安全培訓專案應持續更新內容，從而將這些僱員打造成為防範此類安全事件的第一道堅固防線。

最後，在保護公司智慧財產權和客戶資訊方面，企業必須重視供應鏈帶來的風險。網路犯罪分子會對企業網路安全進行地毯式掃描，一旦發現漏洞便發起攻擊。作為企業必須填補好每個漏洞，包括供應鏈所有環節。

備註1：報告內容來自文章《中國供應鏈管理專題市場調研分析》

【責任編輯：藍雨淚 TEL：（010）68476606】