企業依賴的供應商網絡日益擴張,但許多資安專業人員指出,這些關係產生了他們無法察覺或掌控的安全漏洞。ISC2 (國際資訊系統安全認證協會) 針對超過 1,000 名資安專業人員進行的調查顯示,供應鏈風險已成為他們最關切的議題之一。
調查結果顯示,
70% 的受訪者表示其組織擔憂第三方供應商帶來的資安風險。這種擔憂在大型企業中最為明顯,
尤其是處理金融或政府資料的產業。隨著企業採用新工具和服務,供應商生態系統持續擴張。每一次整合都可能增加暴露風險,許多資安團隊難以掌握這些網絡的深層結構。
實際遭遇事件推升憂慮程度
曾經歷供應商資安事件的組織,擔憂程度更高。近三分之一的受訪者表示過去兩年內發生過此類事件,大型企業和金融服務業的比例尤其高。
值得注意的是,
47% 的受訪者表示當供應商遭遇資安問題時,他們的組織並未感受到直接影響。儘管如此,這些事件仍引發對業務持續性、供應商溝通與資安聲明準確性的質疑。
從產業別來看,銷售軟體或數位服務的組織比其他領域更為擔憂。在金融服務業和軍事承包商環境中,超過 80% 的受訪者表示高度關切。
可視性不足成為最大弱點
受訪者指出,可視性不足是最大的挑戰。資安團隊往往不知道哪些次承包商支援其供應商,也不清楚這些次承包商採取了哪些控制措施。多位受訪者表示,由於供應商提供的資訊有限,他們只能在缺乏驗證的情況下選擇信任。
有些供應商僅在導入階段分享資訊。若未定期更新,客戶可能依賴過時資料,錯失風險態勢的變化。
資料外洩位居最具破壞性威脅
資料外洩被列為最具破壞性的供應鏈威脅,64% 的受訪者提及此項。惡意軟體和勒索軟體緊隨其後,供應商軟體中的漏洞也排名靠前。透過第三方憑證的未授權存取、對供應商控制措施的可視性不足,以及供應商組織內部的內部威脅,都持續造成憂慮。
這些發現呈現出一種模式
:攻擊者鎖定供應商網絡中較弱的控制措施,藉此繞過客戶環境中較強的防禦機制。
企業回應措施仍有落差
企業難以理解供應商及其次承包商帶來的風險。許多企業轉向風險評估和供應商審查,以取得資安實務的基本可視性。這些檢查通常在導入階段和供應商關係的規劃時間點進行,協助團隊確認必要的控制措施是否維持到位。
然而,企業審查供應商資安實務的時程差異很大,許多企業的檢查頻率不足。有些僅在導入時進行一次審查,可能留下長達數年的漏洞。在這種情況下,客戶可能依賴過時的資訊,錯失供應商資安態勢的變化。
採購團隊也設定控制要求。
符合 ISO 27001、SOC 2 和 NIST 框架等標準是首要要求,其次是資安稽核和認證。許多組織要求多因素驗證(MFA)、安全存取實務和事件通報程序。只有少數受訪者表示其組織沒有控制要求。
供應鏈風險管理成熟度參差不齊
在供應商關係建立初期設定控制措施很重要,但無法取代持續監督。各組織的做法差異極大:有些建立正式計畫來指導評估與決策;有些依賴合約條款,或僅在風險浮現時才處理;有些仍缺乏明確流程,正在努力建立中。這些差異反映出跨產業的供應鏈風險管理(Risk Management)成熟度仍極不均衡。
大多數為供應商組織工作的受訪者表示,他們的公司有事件回應計畫(Incident Response Plan)和溝通程序,符合既定標準和監管要求。然而,並非每個供應商都有書面流程,有些員工不確定是否存在,這為依賴及時更新的客戶帶來不確定性。
關鍵建議
- 建立定期的供應商資安審查機制,不應僅止於導入階段
- 要求供應商提供次承包商的資安控制資訊,提升整體可視性
- 將 ISO 27001、SOC 2 等標準納入供應商合約要求
- 建立明確的事件通報和回應流程,確保供應商能在事件發生時及時溝通
- 持續追蹤供應商的資安態勢變化,避免依賴過時資訊
本文轉載自 HelpNetSecurity。