Articles & Blogs > 供应链为黑客提供了一个有利可图的目标

供应链为黑客提供了一个有利可图的目标

作者： Hailey Lynne McKeefry 2023-03-17

标签

网络安全应该是一个让我们采购和供应链人员日思夜想的话题。虽然人们倾向于把这个问题留给信息技术人员，但现实情况是，随着人们日益认识到供应链是大多数组织的关键支柱（特别是对电子制造商来说），不良分子也越来越频繁地将供应链看作一个有利可图的目标。

这也将产生多米诺骨牌效应：投资者将担心网络安全并对其进行审计，企业也将不得不通过供应链中的多个层级来推动对网络安全的关切，以确保下游事件不会使运输、物流、厂商或供应商合作伙伴的业务停滞。

市场评估

市场数字证明了这一点。《Research and Markets》杂志在 2023 年 1 月的报告中预测，全球供应链安全市场将从 2022 年的 20 亿美元增长到 2027 年的 35 亿美元，复合年增长率(CAGR) 为11%¹。这些数字考虑了雇佣专业安全分析师和其他专业服务，包括支持和维护、培训和教育。虽然较小的组织可能在网络安全预算方面有困难，但对任何规模的组织都有重大影响：在一个攻击不断增加的市场中，我们需要增加透明度，降低风险。

事实上，自 2008 年以来一直跟踪网络安全事件的《2022 Verizon 数据泄露报告》² 指出，在已确认的 7013 起系统入侵事件中，有 62% 是由供应链造成的，包括社交、恶意软件和黑客攻击。这些攻击中的绝大多数 (93%) 都是出于经济动机，其中几乎三分之一包括了确认的数据披露。

Supply Chains Offer Hackers a Profitable Target 图 1：制造业事件中不同时期的攻击动机。与过去相比，黑客在制造业发动攻击时更多地是在寻找经济利益。越来越多的拒绝服务 (DoS) 攻击是最常见的事件。虽然 DoS 攻击最初在 2018 年的报告中达到顶峰（超过 40% 的事件），但自 2019 年以来，它一直在增加，现在约占 70% 的事件。（图片来源：Verizon）

保持安全

抢先网络犯罪分子显然并不容易——但大多数组织正计划投资于这项工作。根据 Gartner 最近的一份报告，这往往意味着要对合作伙伴进行审计，包括供应商、合同制造商和物流合作伙伴。事实上，65% 的受访者都提到了审计，同时许多人还提到他们的 IT 供应商 (40%) 或供应链 (39%) 的风险管理工具³。绝大多数企业表示他们将增加供应链网络安全的支出，其中 63% 的企业表示这项投资将是可观的或重大的（图 2）。

Supply Chains Offer Hackers a Profitable Target 图 2：供应链网络安全支出的逐年变化。十个组织中有九个打算在来年增加供应链安全支出，且只有 2% 计划减少他们的关注。这些企业的目标是尽可能地将人工评估、审计和验证方法自动化，以提高其工作的可负担性和有效性。（图片来源：Gartner）

Gartner 认为扩大使用自动化和工具是这一趋势的关键驱动因素。报告指出：“我们采访的领导人表示希望摆脱被动地在发现威胁后进行响应和恢复，转向进行持续和预测性的威胁监测。他们还希望将降低网络风险工作融入其供应链运作中。”

人才缺口大

不过，网络安全方面的支出只是问题的一部分。目前，网络安全人工的需求和供应之间存在巨大缺口。去年 10 月，白宫认为缺口为 70 万人⁴。在美国，现任政府表示，正在优先考虑网络安全，特别是在增加网络工人、网络培训和教育以及数字意识方面。在全球范围内，这个问题甚至更加艰巨。(ISC)² 网络安全劳动力研究报告认为，全世界的相关劳动力缺口为 340 万人⁵。除了上面提到的自动化（让企业用更少的人工完成更多的工作），还有一些策略可能有助于缩小差距：