多年来，威胁行为者一直利用供应链中的薄弱环节，作为渗透到其他组织的踏脚石。我们都还记得近十年前的Target安全漏洞事件，攻击者利用从暖通空调系统供应商处窃取的凭证进入Target的网络，并横向移动，直至最终窃取数百万客户的银行卡和个人信息。几年后，NotPetya勒索软件是另一个备受瞩目的供应链攻击，它最初毒害了一家乌克兰会计公司的软件，后来影响到跨国公司，估计造成100亿美元的损失。最近，SolarWinds Orion软件泄露和SUNBURST后门使得威胁行为者能够进入全球众多组织。此次攻击的范围和影响仍在了解中。

行业行动

供应链网络安全目前已成为各行业高管和安全领导者的首要考虑因素，政府机构、行业团体和监管机构也在采取行动，努力降低风险。随着COVID-19疫苗离现实越来越近，IBM发布了针对COVID-19疫苗供应链的未知威胁行为者的警告，强调了减少OT环境暴露的必要性、攻击者能力的增强以及供应链风险的紧迫性和严重性。在电力行业内，"保护我们的电力 "提出了(PDF)一个端到端的网络供应链风险管理模型框架，作为监管机构使用的基线。新的汽车行业网络安全法规(PDF)将从2024年7月起强制要求所有在欧盟生产的新车遵守，日本和韩国也将实施类似的规定。而新的网络安全标准将在汽车的整个生命周期内建立 "网络安全设计"，目前正在制定中。

安全领导者可以做什么

供应链网络风险是复杂的，跨越产品的整个生命周期–跨越设计、制造、分销、存储和维护。生命周期越长、越复杂，威胁行为者就有更多机会通过针对供应链中不太安全的元素来利用产品。由于供应链通常是全球性的，并跨越多个层级的供应商，因此安全责任并不是由单一组织承担的。每个成员都要扮演一个角色，这使得供应链的网络风险在缓解方面特别具有挑战性。

这就是为什么在制定业务连续性计划时，高管们需要将目光投向自己公司之外，还要考虑其直属供应商所采取的安全措施，以及他们如何反过来管理和缓解其扩展的供应商网络的风险。这五个步骤可以提供帮助：供应链网络风险很复杂，横跨产品的整个生命周期–跨越设计、制造、分销、存储和维护。生命周期越长、越复杂，威胁行为者就越有机会通过针对链中不太安全的元素来利用产品。由于供应链通常是全球性的，并跨越多个层级的供应商，因此安全责任并不是由单一组织承担的。每个成员都要扮演一个角色，这使得供应链的网络风险在缓解方面特别具有挑战性。