联邦政府和关键基础设施所有者和运营商每年花费500亿美元,来自数千供应商的信息和通信技术(ICT) - 小,中等和大;国家和国际。数字转型和全球化为联邦机构带来了技术进步和运营效率。但联邦供应链的日益迷宫性质影响了联邦系统,数据和任务的安全性。

在最大的联邦部门三个 - 国防部(DoD)和商业(Doc)以及国土安全部中的网络安全和基础设施安全局(CISA)分开,正在进行的政策努力 - 旨在采取一些混乱 - 和潜在的安全危害 - 退出供应链方程。

供应链复杂性的根源

这些供应链 可以长,复杂,全球分布,可以包括多层外包。因此,各机构可能对,了解或控制他们采购的技术的知识,综合和部署的技术。 …“美国政府问责办公室信息安全问题总监Gregory C. Wilshusen,于2018年7月的国会证词中指出。

基本上,供应链复杂性是对联邦机构的威胁,因为其相互依存的相互依存性,这有助于对第三方产品和服务有限的可见性。代理商受到代理的风险。

专家表示,最大的挑战机构面临不完全的供应商报告。供应商可以由代理商中的多个组织管理,并且可以使用各种工具来完成报告。这可以导致信息孤岛,最终,对供应商风险的洞察力不准确。

另一个重要领域的漏洞是经销商生态系统。经销商是“最后一英里“在ICT供应链中,将原始设备制造商(OEM)连接到政府客户。因此,由于他们管理的大量政府信息,他们是网络威胁的目标。更重要的是,经销商渠道对网络安全的方法不均匀;特别是较小的组织可能缺乏保护抵抗复杂威胁的资源,所有所需要的是通过代理危害机构的成功攻击。

“英镑电脑高级副总裁Jeff Moore说:”你必须了解你的经销商。 “它始于更多时间教育和培训缔约方和买家,以超越材料和部件号。”

软件是一个不断增长的关注领域,在上升的认识中,安全问题可以在软件供应链的任何时候引入,从生产到实施到操作。 “当在软件供应链中缓解风险时,必须全面地思考并评估应用程序的组件,用于开发它的语言框架,第三方依赖项和可以利用的任何固有漏洞,”Rick Stewart说: DLT的首席技术师。

供应链风险管理计划始于编目原子能机构的第三方,并在整个组织中使用它们。在缔约阶段,原子能机构需要评估风险,然后定期重新评估它。许多人雇用年度调查问卷,这是有用的,但没有足够的帕特里克波特,RSA的数字风险战略家。

目标:风险明智的决策

自动化可以帮助机构监控供应商彻底,不引人注目的,经常风险。通过第三方安全风险监测 - 雇用自动搜索互联网系统 - 一个机构可以根据它设置的标准监控供应商系统。这些可能包括安全工具和利用安全工具和最佳实践的漏洞,以反映第三方的风险以及他们提供的产品或服务的关键性。然后,原子能机构可以与其第三方参与解决鉴定的网络风险。

“收集有关每种风险的信息,评估它们和采取行动 - 这是一个巨大的承诺。自动化将忙碌的忙碌,让机构专注于行使人类判断力,“波特说。

在现代软件开发中,自动化测试是必不可少的,斯图尔特指出。 “正在建立,增强和部署软件,以依赖手动测试,因为人类不能以速度执行这些重复的任务,并跟上将变化的持续性能变为最终用户,”他说。 “使用自动测试很重要,以确保软件不仅安全,而且在功能上满足或超过要求并弹性运行。”

CISA国家风险管理中心的主任Bob Kolasky同意自动化有可能将供应链安全努力带到下一级。 “我真的很想看到其中一些[技术]在使用机器学习中取得成功,使用大数据分析将信息放在一起并将其转化为风险的理解,然后能够转换风险理解来处理决策。 ,“ 他说。 “我认为技术将成为更有风险明智的决策的伟大推动者。”

CISA:“我们正处于转型的中间”

代理和行业高管称赞2018年度国家网络战略和安全技术法 - 该法案于二零一八年十二月签署法律 - 提高联邦机构中供应链风险的认识,并将供应链风险管理纳入代理程序的融合,以及代理商之间的更好信息共享。

“我们正在建设供应链风险管理最佳实践的转型中,以便采购和收购决策,”Kolasky说。 “它首先延长合同要求,并将期望推到二阶三阶供应商。有效地发生的方式是通过建立信息,信息的模板,以及信息共享环境......所以想要提供商品的公司可以很快展示他们遵循良好的安全实践。“

Kolasky在转型的最前沿,CISA信息和通信技术(ICT)供应链风险管理工作组的努力,该责任确定了超过190个与代理商的供应商相关的威胁。

特遣部队的工作组正在接受无数的努力,以改善ICT供应链安全,包括:

  • 制定法律框架,以支撑政府和行业供应链风险的信息共享;
  • 构建包括推荐控制的威胁情景库;
  • 为需要构建合格的投标人列表和合格制造商列表的组织创建模板;
  • 制定值得信赖的证明框架,该框架旨在为组织在制作供应商决策时考虑的信任因素提供标准的问题;和
  • 协调联邦政府和ICT行业的努力,以确保围绕供应链安全举措协调,包括国防部和医生的努力。

5月初,CISA发布了 供应链风险管理(SCRM)必需品概述了可操作的步骤组织可以采取实施SCRM实践以提高其整体安全姿势。它还发表了 ICT.供应链风险管理情况表,ICT供应链风险的快速参考指南。

SCRM Essentials旨在封装来自的引导 国家标准与技术研究院除了需要建立和监督供应链安全计划的高管,国防部的网络安全成熟度模型认证(CMMC)中强调的其他供应链最佳实践和想法,以及其他供应链的最佳实践和想法。

国防部(DOD)CMMC计划旨在将统一的网络安全标准应用于国防部的收购和评估承包商,基于其网络安全成熟。

阅读更多信息