2024年全维度供应链数字化洞察报告-软件定义未来的网络安全
AI智能总结
IBM商业价值研究院|研究洞察 全维度供应链数字化 软件定义未来的网络安全 关于微软与IBM的合作伙伴关系 微软和IBM建立了战略合作伙伴关系,旨在帮助组织实现全面的企业级威胁管理。我们提供相互协同的安全解决方案,让组织满怀信心地在微软云上加速迁移、现代化和业务转型。 IBM提供全面的云安全产品组合,包括用于协同和优化安全资源的战略与风险咨询、保护和实现数字信任的解决方案、威胁管理功能的实施和运营,以及利用现有资源推动安全转型的开放式多云解决方案。如需了解更多信息,请访问:https://ibm.biz/msftsecurity IBM如何提供帮助 IBMSecurity®是值得信赖的合作伙伴,可为您提供融合AI的技术和服务,满足不断发展的业务需求。我们的现代化安全战略方法让您能够充分利用数字创新,并在充满不确定性和网络威胁的环境中蓬勃发展。如需了解更多信息,请访问:https://ibm.com/security 网日趋络融风合险。和供应链风险 摘要 安全的数字供应链对于保障物理供应链安全至关重要。 物理操作日益依赖于数字控制。 在选择供应商时,高管往往更注重成本,而忽视高成本的风险因素。 直接和间接供应商通常未将常规的网络风险管理实施到位。 AI可以更好地整合网络和供应链运营,从而增强运营韧性。 组织可以利用先进技术来改善协作并降低供应商风险。 1 驾驭新风险时代 过去,供应链主要是指物理供应链。而如今,随着数字技术在供应链中的核心作用日益增强,不仅大幅提升了效率,也引入了新的、经常被低估的风险。尽管企业纷纷开始着力增强供应链韧性,但仍有许多企业的供应链网络暴露在网络风险中。 随着暗网网络犯罪市场日趋成熟,网络攻击者在蓬勃发展的“网络犯罪即服务”生态系统中共享资源,这使得恶意人员更容易针对供应链中的薄弱环节发起攻击。1他们通常会针对资源较少、漏洞较多的细分供应商进行攻击。2换句话说,大型供应链网络中的大多数公司都可能成为攻击目标。3 数以百计甚至数以千计的第三方直接或间接互联,提供了通向关键系统的无数路径。一项研究表明,在过去两年中,98%的受访组织至少有一家供应商遭遇过数据泄露。4另一项研究表明,来自业务合作伙伴的数据泄露成本要比其他类型的数据泄露高出近12%。5 为了深入理解网络安全因素如何影响价值链、供应链和生态系统的发展,IBM商业价值研究院(IBMIBV)与微软合作,针对全球各行业的2,000名安全和运营主管开展了一项调研(请参阅第26页的“研究和分析方法”)。调研结果表明,高管对供应商风险和网络漏洞的认识令人担忧。尽管74%的受访者表示供应链韧性对于其组织的成功至关重要,但只有40%的受访者认为生态系统正在扩大网络攻击面。而且,只有不到三分之一的受访组织正在通过优先的投资计划来建立安全、互联的供应链运营生态系统。 2 3 风险的管理是相互依存的,这部分 一部分组织认为网络风险与供应链组织遭遇的供应链中断明显减少。 根据IBM商业价值研究院的调研,一部分组织认为网络风险与供应链风险的管理是相互依存的,而这部分组织遭遇的供应链中断明显较少。然而,由于分散的决策和薄弱的网络安全实践加剧了负面因素,许多组织都难以洞悉潜在威胁及其对运营的影响。 本报告探讨了在调研中发现的三项关键网络风险管理挑战。针对每一项挑战,我们提出了相应的机遇,即如何通过克服挑战来增强供应链韧性。每个部分还附有简明的行动方案,企业高管可以采取这些具体步骤,更有效地在其组织和生态系统中整合网络风险和供应链风险管理。 观点 首要问题: 什么是“供应链”?6 供应链是指产品开发和销售流程中的相关个人、组织、资源、活动和技术/IT系统组成的网络。供应链涵盖从供应商向制造商供应原材料到产品最终交付给最终用户的整个过程。 软件供应链则涵盖软件开发生命周期中接触代码的所有要素和所有人员,包括组件相关信息(如基础架构、硬件、操作系统、云服务)、代码编写人员以及代码的来源,如注册表、GitHub存储库、代码库或其他开源项目。其中还包括可能对软件安全产生负面影响的任何漏洞。 挑战一:规模庞大 数字供应链运营和风险迅速激增 供应商网络正在迅速扩展。本调研表明,受访组织拥有庞大的直接和间接供应商网络。根据所有行业受访高管的数据,每家组织平均拥有1,284家直接供应商。而如果计入间接供应商,则第三方供应商数量会大幅增加(见图1)。近一半(48%)的受访者估计,间接供应商数量是直接供应商数量的五倍,即6,420家。这些直接和间接供应商共同构成了一个庞大的攻击面―相当于至少有7,700个潜在威胁向量可能进入组织。 图1 不断扩大的供应商网络带来了庞大的攻击面,为入侵关键基础架构和运营提供了许多切入点。 间接供应商总数等于直间接供+应商数量等于 20倍 10倍 直接供应商数量 直接供应商数量 26,964 (3%的受访者) 14,124 (17%的受访者) 5倍 1倍 1,284 直接供应商数量 直接供应商数量 7,704 (48%的受访者) 2,568 (32%的受访者) 直接供应商数量平均值 问:有多少直接供应商为贵组织的关键供应链提供支持? 问:估计有多少间接(第n方)供应商为贵组织的直接供应商提供支持? 4 供应商网络如此庞大,使得组织预测潜在中断变得非常困难,甚至不可能,更不用说协同有效的应对措施了。这将对运营产生巨大的影响。与供应商数量最少的组织相比,供应商数量最多的组织遇到的严重运营影响事件要多出17%。这项分析考虑了多项因素的影响,包括网络事件、人才和原材料短缺以及极端天气事件(参见第20页的分析)。 事实上,在高度互联的供应链环境中,网络事件往往会成为引发严重中断的导火索。尽管本调研表明,受访者并未遭受过通过供应商发起的大规模网络攻击,但30%的受访者表示在过去三年中因第三方漏洞而遭受过攻击。最近的一份报告表明,这一问题正变得日益普遍:41%的受访组织表示遭受过由第三方导致的重大 这一现状给供应链应用和服务的安全性带来了巨大的压力。在过去三年中,针对各行业受访者调研的主要发现包括: –近40%的受访者表示其组织遭遇过需要采取非常措施来应对的网络安全事件,或对运营产生持久而实质性影响的网络安全事件。 –超过一半(52%)的受访者表示其组织的供应链IT应用和服务曾遭遇重大或严重中断。 –与其他职能领域相比,IT应用和服务中断对运营产生的影响更为显著。 展望未来,65%的受访者认为供应链中断可能发生在组织的IT基础架构中,另有53%的受访者认为供应链 网络事件。7 中断可能发生在组织的IT应用和服务中(见图2)。 图2 IT相关职能是供应链中断最有可能发生且受影响最严重的领域。 组织百分比 供应链中断产生巨大影响 50% IT应用和服务 40% 30% 寻源 分发库存管理 需求规划 采购 运输 IT基础架构 20% 10% 制造订单管理 10%20%30%40%50%60%70% 组织百分比 中断可能性很高 问:供应链中断最有可能发生在哪里?回答“可能”和“极有可能”的受访者百分比。 问:哪些职能领域最容易受到供应链中断的影响?回答“影响中等”和“影响重大”的受访者百分比。 5 5 机遇:利用“安全设计”方法增强网络和供应链韧性。 鉴于广泛的业务合作伙伴关系,组织需要采用一种新方法来保障供应链安全,即认识到内部和外部IT平台与服务之间的共同功能。许多供应链输入和输出都是使用通用基础架构来实现和交付的,这为组织带来了优势。如果将网络风险和供应链风险管理视为相互关联的关系,则这两个维度的能力都会变得更加强大。 这就像是一种DNA双螺旋结构,网络韧性和供应链韧性会相互增强。两者凝聚为一股合力,可改善效率、协同和价值创造;但同时也代表了两种相互依赖且并行发展的能力。提高可视性和治理能力对于组织内部,乃至整个供应链和合作伙伴生态系统都至关重要。 从更实际的层面来说,这种程度的整合是什么样的?这是一种贯穿整个供应链的文化,从初始设计、采购材料、供应商、分销到产品生命周期结束,网络风险管理、安全和韧性均处于重要地位。作为第一步,供应链和风险管理领导者可以效仿软件和硬件开发社区的做法,采用“安全设计”原则,也称为“左移”。 这种方法将安全置于决策的最前沿,而不是事后再“亡羊补牢”。8通过将“安全设计”应用于供应链的每一个阶段,可推动运营各方优先加强网络风险管理和协同治理实践。这有助于促进各职能部门以及整个合作伙伴生态系统的协作。这带来了诸多优势,例如能够尽早发现潜在漏洞、分享最佳实践,以及有助于协同应对威胁 (参见第8页的案例研究:“汽车制造商采用全新的安全优先思维”)。 网络风险管理 供应链风险管理 6 这种方法有助于改善运营和业务成效。根据IBM商业价值研究院的分析,在网络风险和供应链风险管理领域具有更高成熟度的组织实现了更出众的安全投资回报率 (见图3)。这两个维度的成熟度相互强化。与表示受到类似网络安全事件严重影响的其他组织相比,此类组织在过去三年中遭遇的网络事件要少89%。 行动:采用“安全设计”方法优先增强供应链运营的安全性。 1.组建一个跨职能的供应链风险管理团队,包括IT、OT和产品安全专家,负责审查当前的供应链流程和系统。 2.编写一份供应商名单,并按关键性和风险暴露进行细分。安排团队识别所有潜在的薄弱环节,涵盖从供应商采购、物流到软件分销渠道的整个周期。 3.然后,让团队合作设计和整合安全控制措施,以缓解已识别的风险。 图3 更成功地整合网络风险和供应链风险管理 的组织实现了更高的安全投资回报率。高 23% 成 管 风 网络险理熟 平均安全投资回报率(ROSI) 71% ROSI增幅 24% 度14% 低低 19% 高 供应链风险管理成熟度 基于IBMIBV分析。 7 7 案例研究 汽车制造商采用全新的安全优先思维9 随着汽车日益依赖于软件,网络安全对于保障汽车安全至关重要。现代汽车包含超过1.5亿行代码,自然也就增加了网络攻击的几率。为了应对这些威胁,各种新的法规不断出台,包括联合国欧洲经济委员会(UNECE)发布的WP.29法规和ISO/SAE21434标准,旨在管理整个产品生命周期中的软件网络安全风险。10 一家全球汽车制造商意识到,要实现全面电动化和拓展智能互联汽车用户群的宏大目标,网络安全将发挥至关重要的作用。该公司还发现加速提高网络安全成熟度已势在必行――针对关键IT资产样本的风险量化评估表明,预计年损失超过10亿美元,这一惊人的金额可能会威胁到未来的运营和品牌形象。 基于对MicrosoftAzure基础架构和服务的长期投资,该公司与IBM合作开启了重塑网络安全性旅程――从手动、被动的安全态势转变为主动预测可能发生的事件。 该流程采用一种全面的“安全设计”方法,在整个运营流程中嵌入安全功能并整合安全控制,从制造/OT和企业/IT,到合理化互联产品供应商,再到企业的招聘和培训实践。对于这家OEM来说,这相当于一种全新的思维方式。该公司不是在安全漏洞出现后才去修补,而是将安全作为连接车队与后端服务、供应商生态系统与工厂车间的基本要素,包括为其代码库做出贡献的软件供应商。11转型路线图预计会在未来三年内将风险减少一半。 流造程中嵌入安全功能和控制⸺从制 和企业,到合理化互联产 全面的“安全设计”方法在整个运营 /OT/IT 品供应商,再到员工招聘和培训实践。 8 挑战二:管理分散 分的后散果管理网络风险和供应链风险 大多数组织的风险管理都处于一种各自为战的分散状态。不过,重大风险通常具有跨职能的性质,因此不会遵循组织边界,尤其是管理物理和数字供应链的组织边界。尽管物理供应链和数字供应链都对收入有巨大的贡献(见图4),但组织缺乏将两者风险责任联系在一起的整体视图。70%的受访高管表示,物理风险和网络风险由组织的不同部门管理,因此可能会忽视或低估物理和数字威胁向量的共同风
