供应链网络安全的良好做法 0 2023年6月 关于ENISA 欧盟网络安全机构(ENISA)是欧盟的机构,致力于在整个欧洲实现高水平的网络安全。ENISA成立于2004年,并通过《欧盟网络安全法 》得到加强,为欧盟网络政策做出了贡献,通过网络安全认证计划增强了ICT产品,服务和流程的可信性,与成员国和欧盟机构合作,并帮助欧洲为未来的网络挑战做好准备。通过知识共享,能力建设和提高认识,该机构与主要利益相关者合作,加强对互联经济的信任,提高欧盟基础设施的韧性,并最终保持欧洲社会和人民的数字安全。有关ENISA及其工作的更多信息可以在这里找到:www.eisa.欧罗巴。欧盟。 联系人 如需联系作者,请使用restribility@enisa.europa.eu 有关本文的媒体查询,请使用press@enisa.europa.eu AUTHORS MariaPapaphilippou,KonstantinosMoulinos,MarianthiTheocharidou ACKNOWLEDGEMENTS 西门子VolkerDistelrath 法律通知 除非另有说明,本出版物代表ENISA的观点和解释。它不认可ENISA或ENISA机构根据法规(EU)2019/881的监管义务。 ENISA有权更改、更新或删除出版物或其任何内容。它仅供参考,必须免费访问。对它的所有引用或其整体或部分使用必须包含 ENISA作为其来源。 在适当情况下引用第三方来源。ENISA对包括本出版物中引用的外部网站在内的外部来源的内容不负责或承担责任。 ENISA或代表其行事的任何人都不对可能使用本出版物中包含的信息负责。 ENISA保留其与本出版物有关的知识产权。 版权通知 ©欧盟网络安全机构(ENISA),2023 除非另有说明,否则本文档的重用是根据知识共享署名4.0国际(CCBY4.0)许可(https://creativecommons.org/licenses/by/ 4.0/)授权的。这意味着只要给出适当的信用并指出任何更改,就允许重用。 对于不属于ENISA的照片或其他材料的任何使用或复制,可能需要直接寻求相关权利人的许可。 ISBN978-92-9204-636-1doi:10.2824/805268TP-03-23-145-EN-N TABLEOFCONTENTS 1. 1.1NIS2指令4中的供应链 1.2目标和观众5 1.3方法和结构6 2.现行做法8 2.1调查结果8 2.2Summary17 3.供应链网络安全良好做法19 3.1战略公司方法19 3.2供应链风险管理21 3.3供应商关系管理22 3.4易损性处理24 3.5供应商和服务供应商的产品质量和做法26 4.挑战32 参考文献33 附件A:最近的供应链攻击36附件B:标准和良好做法38附件C:术语39 执行摘要 指令(EU)2022/2555(NIS2指令)1要求会员国确保必要和重要的实体采取适当和相称的技术,运营和组织措施,以管理对这些实体在提供服务时使用的网络和信息系统的安全构成的风险。根据NIS2指令第21(2)条,供应链网络安全被视为网络安全风险管理措施的组成部分。 该报告根据2022年ENISA研究的结果,概述了欧盟基本和重要实体遵循的当前供应链网络安全实践,该研究的重点是欧盟组织之间的网络安全预算投资。 在这些发现中,观察到以下几点。 86%的受访组织实施信息和通信技术/运营技术(ICT/OT)供应链网络安全政策。 47%为ICT/OT供应链网络安全分配预算。 76%的受访者在ICT/OT供应链网络安全方面没有专门的角色和职责。 61%的受访者需要供应商的安全认证,43%的受访者使用安全评级服务,37%的受访者进行尽职调查或风险评估。只有9%的受访者表示他们没有以任何方式评估其供应链安全风险。 52%的人有刚性的修补政策,其中只有0至20%的资产没有覆盖。另一方面, 13.5%的人对50%或更多的信息资产的修补没有可见性。 46%的人在不到1个月的时间内修补关键漏洞,另有46%的人在6个月或更短时间内修补关键漏洞。 该报告还收集了来自欧洲和国际标准的供应链网络安全方面的良好做法。它主要关注ICT或OT的供应链。客户(如NIS2指令下被确定为基本和重要实体的组织)或其各自的供应商和提供商提供和实施良好做法。良好做法涵盖五个领域,即: 公司战略方法; 供应链风险管理; 供应商关系管理; 脆弱性处理; 供应商和服务提供商的产品质量和实践。最后,报告总结如下。 关于ICT/OT供应链的术语存在混淆。 组织应建立基于第三方风险管理(TRM)的全公司供应链管理系统,涵盖风险评估,供应商关系管理,脆弱性管理和产品质量。 良好做法应涵盖在从生产到消费的ICT/OT产品和服务供应链中发挥作用的所有实体。 并非所有部门都在ICT/OT供应链管理方面表现出相同的能力。 应进一步审查NIS2指令与网络弹性法案提案或其他立法之间的相互作用,这些立法规定了产品和服务的网络安全要求。 1欧洲议会和理事会2022年12月14日的指令(EU)2022/2555,关于在整个联盟中实现高度共同网络安全的措施,修订了法规(EU)910/2014和指令(EU)2018/1972,并废除了指令(EU)2016/1148(NIS2指令)(OJL333,27.12.2022,第80页)。https://eur-lexel.25euroi/2022 1.INTRODUCTION 世界经济论坛(WEF)和锚点的调查报告显示,39%262%3一些组织受到第三方网络事件的影响此外,根据Mandiant4,供应链妥协是第二大最普遍的初始感染媒介在2021年确定。它们也占2021年入侵的17%,而2020年不到1%。 在2021年,ENISA对供应链攻击的威胁显示,在分析的66%的供应链攻击中,供应商不知道,或者不透明大约,他们是如何被入侵的 。相比之下,只有不到9%的客户通过供应链攻击不知道攻击是如何发生的。这凸显了供应商和最终用户面临的公司之间网络安全事件报告成熟度方面的差距。大约62%的客户攻击利用了他们的信任他们的供应商在62%的案例中,恶意软件是采用的攻击技术。当考虑目标资产时 ,在66%的事件中,攻击者专注于供应商代码以进一步妥协目标客户。 最新的ENISA威胁形势报告(2022年)也观察到威胁团体对供应链攻击和攻击托管服务提供商(MSP)5此外,报告认为我们可能会看到投资增加6的资源进入脆弱性研究在这些供应链中,在不久的将来。这是威胁团体直接针对安全研究人员的原因之一。另一个目标是常见和受欢迎的开源存储库例如NPM,Python和RubyGems,它们要么在感染了恶意软件的情况下被克隆,目的是感染任何在其项目中将其作为工具或软件包实现的人。由于任何人都可以将软件包发布到开源平台,因此恶意软件注入通常会在很长一段时间内受到关注。 Itis,therefore,implicatethatnetworkrisksarisingfrompartners,suppliersandvendorscouldhavesystemicimplications.ThisisalsoprofectedbytheresultsofarecentsurveyamongnetworkleadersandCEO7近40%的受访者表示,他们受到与第三方供应商/供应链相关的网络安全事件的负面影响。事件的增加使大多数接受调查的首席执行官(58%)感到担忧,他们表示他们认为自己的合作伙伴和供应商的弹性不如自己的组织。这将在未来对其组织的网络安全方法产生最大的影响。 1.1NIS2指令中的供应链 在这种复杂的供应链环境中,在欧盟层面建立供应链网络安全的良好实践现在比以往任何时候都更加重要。NIS2指令1通过以下方式增强供应链网络安全: 消除基本服务运营商和数字服务提供商之间的区别; 通过增加更多区分基本和重要实体的部门,将覆盖范围扩大到经济和社会的更大部分; 通过要求各个实体解决各自的网络安全风险来解决供应链网络安全和供应商关系; 引入重点措施,包括事件响应和危机管理、漏洞处理和披露、网络安全测试和有效使用加密; 介绍每个实体管理层遵守网络安全风险管理措施的问责制; 建议NIS合作小组可以对特定的关键信息和通信技术(ICT)服务,系统或产品进行协调的安全风险评估。 2世界经济论坛,《2020年全球网络安全展望》。https://www.weforum.org/reports/global-cleavy-outlook-2022/3锚点,'2022年安全趋势:软件供应链调查。https://ancho.com/blog/2022-安全-趋势-软件-供应链-调查/ 4Kutscher,J.,“M-TRENDS2022”,曼迪安特。https://www.mandiant.com/resources/m-trends-20225ENISA威胁格局2022报告。 6PWC2022全球数字信任见解调查。https://www.pwc.com/gx/en/issues/网络安全/global-digital-trust-insights.html7世界经济论坛,《2020年全球网络安全展望》。https://www.weforum.org/reports/global-cleanspy-outlook-2022/ NIS2指令要求必要和重要的实体解决供应链和供应商关系中的网络安全风险。它通过在第21条中要求基本和重要实体采取适当和相称的技术 ,运营和组织网络安全风险管理措施,并遵循所有危害方法来做到这一点。除其他领域外,这些措施应解决供应链安全问题,包括每个实体与其直接供应商或服务提供商之间关系的安全相关方面。 此外,实体应考虑到每个直接供应商和服务提供商特有的漏洞,以及其供应商和服务提供商的产品和网络安全实践的总体质量,包括其安全开发程序。 成员国还应确保,在确定适当措施时,要求各实体考虑到根据第二十二条第1款进行的协调风险评估的结果8. 1.2目标和观众 本报告的目的是概述欧盟运营商当前的ICT/运营技术(ICT/OT)供应链网络安全实践,并确定ICT/OT供应链网络安全的良好做法。该报告主要侧重于基本和重要的实体不同种类的直接供应商和服务提供商9例如制造商、分销商、集成商、MSP、托管安全服务提供商(MSP)或 云计算服务提供商。因此,它确定了基本和重要实体以及不同类型的供应商和提供商的良好实践。 基本和重要实体通常运营关键基础设施,并使用制造商、分销渠道提供商、系统集成商和数字服务提供商的产品、系统和解决方案。一些实体制造自己的产品(硬件和软件),在这种情况下也可以被视为重要的实体。推荐的制造良好实践也可以应用于此类组织。 实体通常与其直接供应商和服务提供商具有合同关系,可以为各自的交付或获得的服务定义组织,流程和技术措施。合同约定措施的范围仅限于组织的采购能力以及供应商或服务提供商的能力。一些措施沿着供应链级联,但是由相应的组织对实施的整体控制通常是不可能的,因为不存在可以例如提供审计权或要求来自供应链中的所有供应商的安全措施的详细信息的一般合同关系。在产品和组件的供应链中缺乏控制的一个典型例子是开源软件,该软件是公开可用的,其使用规则在不可转让的许可协议中确定。需要保持控制的另一个例子是从云计算服务提供商采购服务时,因为这需要额外的努力来确保满足《通用数据保护条例》的要求。 表1简要说明了各种类型的供应商和提供商在ICT/OT供应链中的作用。 表1:供应商和提供商 供应商和提供商的类型 Function 制造商10 设计、开发、制造并向客户交付产品和组件。采购供应链中的硬件和软件组件。 交付可用于多种用途的产品;即类似的产品销售给具有不同