什么是供应链安全？

供应链领域的许多人都记得，由于与第三方的关系，Target 和 Home Depot 在短短几个月内相继遭遇了重大数据泄露事件。六年过去了，供应链安全漏洞仍然频频登上新闻头条：其中最引人注目的是 SolarWinds 漏洞，该漏洞目前在整个行业引起了强烈反响。最新分析估计，数据泄露的平均成本为 386 万美元，而超级泄露（5,000 万条或更多记录被盗）的成本可达 3.92 亿美元。鉴于 2020 年供应链攻击激增，我们只能想象，当分析结果更新后，将会产生怎样的影响。

那么，如何解决供应链安全问题？

部分挑战在于，供应链安全没有单一的功能定义。这是一个非常广泛的领域，包括从物理威胁到网络威胁，从交易保护到系统保护，从降低直接业务网络中各方的风险到降低第三方、第四方和第“n”方关系所衍生的风险。然而，人们越来越一致地认为，供应链安全需要采取多方面且功能协调的方法。

供应链领导者告诉我们，他们担心网络威胁，因此在本博客中，我们将重点关注网络安全方面，以保护产品和服务的质量和交付以及相关的数据、流程和系统。

“供应链安全是一个多学科问题，需要业务、客户支持和 IT 组织之间的紧密协作与执行，这本身也面临挑战。那些做到这一点的公司，首先从 IT 和安全的多企业业务网络开始，然后通过精心管理且安全的分析和可见性功能访问权限，逐步提升，并持续监控每一层异常行为。”

IBM Sterling 首席技术官 Marshall Lamb

为什么供应链安全如此重要？

供应链的核心在于以合适的价格、在合适的地点、在合适的时间，为客户提供他们所需的产品和服务。对所交付产品或服务的完整性、所交换数据的隐私以及相关交易完整性的任何中断和风险都可能对运营、财务和品牌造成破坏性后果。数据泄露、勒索软件攻击以及内部人员或攻击者的恶意活动可能发生在供应链的任何层级。即使是仅局限于单一供应商或第三方供应商的安全事件，也可能严重干扰“规划、制造和交付”流程。

“供应链的强大程度取决于其中最脆弱的实体。洛杉矶港的网络弹性中心将帮助供应链中的每个参与成员更好地保护自己，进而保护其他成员。”

IBM Security X-Force 副总裁 Wendi Whitmore

降低这种风险是一个不断变化的目标，也是一个日益严峻的挑战。供应链是日益复杂的全球网络，由数量庞大且不断增长的第三方合作伙伴组成，这些合作伙伴需要访问数据并确保他们能够控制谁可以看到这些数据。如今，人员和预算面临新的压力和限制，战略、合作伙伴以及供需组合也发生了快速而不可预见的变化，这进一步增加了挑战和紧迫性。与此同时，知识更丰富、社会意识更强的客户和员工要求他们购买或支持的产品和服务具有透明度和可见性。每个接触点都会增加需要评估、管理和降低的风险。

5 大供应链安全问题

全球各行业的供应链领导者告诉我们，以下五个供应链安全问题让他们夜不能寐：

1. 数据保护。数据是商业交易的核心，必须在静态和动态时对其进行保护和控制，以防止泄露和篡改。安全的数据交换还涉及信任其他来源，无论是第三方还是电子商务网站。确保与您交互的一方身份属实，这一点至关重要。
2. 数据局部性。关键数据存在于供应链的各个层级，无论其位于何处，都必须对其进行定位、分类和保护。在金融服务和医疗保健等受到严格监管的行业中，数据的获取、存储、管理、使用和交换必须符合行业标准和政府规定，这些标准和政府规定因运营所在地区而不同。
3. 数据可见性和治理。多企业商业网络不仅促进企业间的数据交换，还允许多家企业访问数据，以便查看、共享和协作。参与企业要求对数据拥有控制权，并能够决定与谁分享数据以及每个获得授权的各方可以看到哪些内容。
4. 预防欺诈。在从订单到现金的一个周期中，数据会多次易手，有时以纸质格式，有时以电子格式。各方之间交换数据或在系统内转移数据的每一个环节都有可能导致数据被恶意或无意地篡改。
5. 第三方风险。从手机到汽车，日常产品和服务越来越复杂。因此，供应链通常依赖四层或更多层的供应商来交付成品。这些外部各方都可能使组织面临新的风险，这取决于它们能否妥善管理自身的漏洞。

供应链安全最佳实践

供应链安全需要采取多方面的方法。没有万能的灵丹妙药，但组织可以通过分层防御的组合来保护供应链。由于专注于供应链安全的团队使威胁参与者更难接受安全控制的考验，他们因此获得了更多时间来检测恶意活动并采取行动。以下是组织为管理和降低供应链安全风险而采取的一些最重要的战略。

• 安全策略评估。要评估风险和合规性，您需要评估现有的安全治理，包括数据隐私、第三方风险以及 IT 监管合规需求和缺口，以应对业务挑战、需求和目标。安全风险量化、安全计划制定、法规和标准合规以及安全教育和培训是关键。
• 漏洞缓解和渗透测试。首先通过运行漏洞扫描来识别基本的安全问题。修复错误的数据库配置、不良的密码策略、取消默认密码以及保护端点和网络可以立即降低风险，同时对工作效率或停机时间的影响最小。聘请渗透测试专家，通过网络钓鱼模拟和红队测试，尝试发现新旧应用程序、供应链底层 IT 基础设施甚至人员各个方面的漏洞。
• 数字化和现代化。如果您依靠纸张、电话、传真和电子邮件进行业务交易，则很难确保数据安全。基本手动流程的数字化是关键。技术解决方案能够轻松实现从手动的纸质流程的转变，并为交易带来安全性、可靠性和治理，从而为企业内部以及与客户和贸易伙伴之间的安全数据传输奠定基础。在实现业务流程和软件现代化时，您可以利用加密、标记化、数据丢失防护以及文件访问监控和警报等功能，并让团队和合作伙伴参与安全意识和培训。
• 数据识别和加密。数据保护计划和策略应包括使用发现和分类工具来查明包含受保护的客户信息、财务数据和专有记录的数据库和文件。找到数据后，即可使用最新的标准和加密策略保护所有类型的静态和动态数据，包括客户、财务、订单、库存、物联网 (IoT)、运行状况数据等。系统对传入的连接进行验证，对文件内容进行实时审查。数字签名、多重身份验证和会话中断为通过互联网进行交易时提供额外的控制。
• 对数据交换和可见性进行授权控制。多企业业务网络通过基于用户和角色的访问工具，确保战略合作伙伴之间进行安全可靠的信息交换。身份和访问管理安全实践对于在广泛的生态系统中安全地分享专有和敏感数据至关重要，同时发现并缓解漏洞可以降低不当访问和泄露的风险。数据库活动监控、特权用户监控和警报提供可见性，以便快速发现问题。将区块链技术添加到多企业业务网络中，可以实现多方对经授权、不可篡改的共享记录的可见性，从而增强整个价值链的信任。
• 信任、透明、溯源。借助区块链平台，一旦将数据添加到账本中，就无法进行操控、更改或删除，这有助于防止欺诈、验证来源并监控产品质量。来自多个企业的参与者可以跟踪材料和产品从源头到最终客户或消费者的整个过程。所有数据都存储在区块链账本上，采用最高级别的商用防篡改加密技术进行保护。
• 第三方风险管理。随着整个供应链生态系统中各个公司与第三方之间的联系和相互依存关系的增长，组织需要扩展供应商风险管理的定义，将端到端安全纳入其中。使公司能够在整个关系生命周期中评估、改进、监控和管理风险。首先将自己的业务和技术团队与合作伙伴和供应商聚集在一起，以确定关键资产，以及在发生合规违规、系统关闭或公开数据泄露时对业务运营造成的潜在损害。
• 事件响应计划和编排。主动做好应对安全漏洞、系统关闭或中断的准备并制定完善的事件响应计划至关重要。经过实践检验且易于执行的响应计划和修复可防止收入损失、声誉受损以及合作伙伴和客户流失。情报和计划提供指标和经验教训，您的组织和合作伙伴可以利用这些指标和经验教训来做出决策，以防止攻击或事件再次发生。

供应链安全将继续变得更加智能。例如，一些解决方案开始采用 AI，通过识别异常情况、模式和趋势来主动检测可疑行为，从而发现未经授权的访问。AI 驱动的解决方案可以发送警报以提醒人们响应或自动阻止尝试。

如今，企业如何确保供应链安全？

IBM Sterling Supply Chain Business Network 今年 9 月创下了安全商业交易新纪录，较 2019 年 9 月增长 29%，并在全球疫情期间帮助世界各地的客户在安全可信的环境下重建业务。

国际汇款服务提供商 Western Union 凭借值得信赖的文件传输基础设施，在 2018 年为消费者和企业客户快速、可靠且安全地完成了超过 8,000 亿笔交易。

时装零售商 Eileen Fisher 使用智能全渠道履约平台建立了跨渠道的单一库存池，提高了库存数据的可信度，执行了更灵活的履约，并降低了客户获取成本。

区块链生态系统 Farmer Connect 通过结合网络和数据安全的区块链平台，以透明的方式将咖啡种植者与其服务的消费者联系起来，以提高信任度、安全性和溯源能力。

金融服务提供商 Rosenthal & Rosenthal 用基于云的安全多企业业务网络取代了多种电子数据交换 (EDI) 服务方法，从而降低了运营成本，同时为每位客户提供了响应迅速的高质量服务。

综合物流供应商 VLI 满足了众多政府合规和安全法规的要求，并允许 9,000 名员工在正确的时间访问正确的系统来完成工作，同时提供一套集成的安全解决方案来保护业务和资产并管理用户访问权限。

作为世界上最繁忙的海港之一，洛杉矶港正在建立首个网络弹性中心，并提供一套安全产品，旨在提高供应链生态系统的意识和准备情况，以便应对可能干扰货物正常运输的网络威胁。

保障供应链安全的解决方案

确保您最敏感数据的安全，只有您信任的人才能看到这些数据，这些数据不可更改，以防止欺诈，并免受第三方风险的影响。凭借久经考验的安全技术，无论您采用何种实施方法（本地、云或混合），IBM 都能帮助您保护供应链安全。