Panorays-供應鏈(商)資安風險管理方案

全球化下的供應鏈(商)資安風險思維

在現今的全球化的環境中，企業除了本身的體質需要夠強健之外。也需要依靠不同面向的供應鍊(商)才能提供最終產品或服務給於客戶。然而供應鏈(商)一旦出現問題後受害的不只供應鏈(商)，企業本身的維運甚至是商譽也將遭受莫大的衝擊。因為當今在以客為尊的商業世界中，客戶不會在乎你的供應商發生何事。他們只在乎你的企業所提供的產品與服務因為出現了問題造成了客戶困擾。

哪麼供應鏈(商)的議題百百種，最嚴重的問題會是甚麼呢?

應該是當屬供應鏈(商)的資安出現了問題進而危及到企業本身的營運與商譽。從2013年發生的塔吉特百貨(全美國僅次於沃爾瑪的第二大零售百貨集團)到近期的SolarWinds軟體的資安事件。其實使用的手法都是一樣的，透過Cyber Kill Chain(網際攻擊狙殺鍊)入侵到企業中。只是一開始的目標都不是直接針對企業本身，而是迂迴的透過企業的供應鏈進到企業的環境中。

為此塔吉特百貨共有四千萬筆信用卡資料及七千萬筆客戶資料被盜，最後付出了1850萬美元的和解金。而SolarWinds的影響更大，SolarWind本身就要花費數千萬美元的修補此一漏洞。而被影響的客戶則高達有一萬八千間企業，這些企業損失的加總可能是一個天文數字。可見供應商管理是一個對企業營運及商譽極其重要的議題。

供應鏈(商)的資安風險三原則

所以我們需要有一個對供應鏈(商)的資安風險管理思維

原則一: 以系統總有一天會被入侵的思維發展企業的資安防禦

借錢的總有可能的一天會不還錢。
這個問題在於不是如何防止被入侵，而是如何"降低駭客取得企業與相關供應商可被入侵資訊的能力"以及快速回復到入侵之前的狀態。

原則二:資安從來不是技術問題，而是人員，流程，知識問題

大多數的資安問題都不是技術問題而是人的問題。IT系統將不會安全的防守企業的重要數位資產，除非企業的員工透過使用供應鏈(商)的最佳安全實踐。

原則三:實體安全也是數位資訊安全

企業的實體環境安全也應等同數位資訊安全，駭客也有可能透過實體環境安全的漏洞達到入侵的目的。你的供應商可能因為你的企業的不安全漏洞帶著已經被入侵的電腦接上企業內部環境進行作業。

主要的供應鏈(商)風險管理

如上面所說的供應鍊(商)管理議題百百種，而以下是一些需要被考量的風險:

• 第三方服務/供應商 — 從掃地阿姨到軟體工程師 — 從實體或數位安全
• 較不重要的供應商的資安最佳實踐太差
• 從供應商買來的是已被入侵的軟硬體
• 供應鏈管理或供應商系統中的軟體安全漏洞
• 帶有惡意程式的偽造的軟硬體
• 第三方供應商的資料儲存方式

Panorays供應商資安風險管理方案

前面講到了供應鏈(商)的這麼多資安風險管理議題，哪麼Panorays可以為這些資安議題帶來甚麼協助呢?

Panorays是一個"自動化"能夠快速且容易評估供應商的資安風險管理平台。平台能夠管理整個風險管控流程，從供應商的"既有風險"到"殘餘風險"。並且提供"修補方式"並"持續的風險監控"。

以下為Panorays的主要特點:

• 加速供應商的評估流程
• 精簡與供應商的偕同合作與資安修補方式
• 消除對供應商的人工問卷評估
• 提供的儀表板除了具可視性並提供具有"執行行動"的資訊(What happened and What’s next to do)
• 管理與降低風險
• 針對風險高低的資安修補做出排序
• 確保合規
• 對管理供應商風險的時間/資源/預算優化其效率
• 建立值得信任的業務商業關係

Panoray執行計畫步驟

使用這Panorays供應商資安風險管理平台的標準步驟如下

第一步: 根據既有風險識別和對照供應商

針對企業的重要數位資產來對照其供應商，依照Network, IT, applications, and physical. 並檢查供應商已採取的現有的資安措施。確實的了解供應商違規對組織產生的業務影響。在這一步Panorays能夠自動化的判斷既有風險。

第二步:根據與供應商關係實行風險範圍控制

可能的控制範圍如下:

• Policies and Procedure
• Development
• HR
• Risk management
• Access control

當然我們也會考量供應商是不是需要有合規要求，如

• GDPR
• CCPA
• PCI DSS
• HIPAA

在第二步，Panorays可以協助我們基於我們與供應商的會對我們業務造成"衝擊的大小"與"合規要求"自動的產生"客製化資安問卷"。

第三步:發出問卷並確實收到憑據

準備與供應商來回的密集溝通，之後我們就可以預期根據我們所需要達到的資安控制項得到相對應的憑證。當然我們需要設定一個時間來完成這個問卷。在這裡Panorays能夠自動追蹤供應商的問卷進度並跟進任何問題。

第四步:評估供應商的攻擊面

在這一步驟會執行一個至少三個層面的的綜合性評估，分別是

• IT and Network : 相關網路基礎架構層面的參數檢查，例如DNS， SSL等安全協定的加密參數等更多其他安全檢查。
• Applications: 域名劫持，網頁服務及更多相關的安全性檢查。
• Human: 人員的社交態勢，資安團隊成員以及更多有關人員在數位世界的足跡檢查。

Panorays在這一步自動化評估供應商網際網路的的數位足跡安全性。

第五步:審查對供應商問卷和憑據的回覆

這裡我們需要

• 檢視供應商的每一題的問卷回應與憑據
• 通過現有的控制項比較來評估風險程度
• 根據風險程度/問卷回覆/業務關係綜合起來進行評分

Panorays這裡可以協助我們根據組織的規範自動識別有問題的答案並標記重要問題。

第六步:回報問題與建立修補時間

最後我們需要知道現有發現的問題並建立何時我們能修補這些問題的時間點。需要的行動有:

• 紀錄資安落差，現行資安態勢與想要達到的資安態勢。
• 與供應商溝通釐清要弭補資安差距的問題點
• 將要要修補的清單傳送給供應商
• 設定時間來修補這些資安議題

Panorays這裡可以協助我們根據組織的資安標準，自動的產生修補計畫。

第七步:檢視風險與持續監控

我們有以下事項需要執行

• 確保供應商真的彌補了資安落差
• 決定要不要與此供應商合作
• 持續監控與偵測任何的資安風險

總結

供應鍊（商）的風險評估對企業來來說是一個必要的流程但卻從來就不是一件容易的事。事實上，如果您的企業很大組織的供應商必然會很多。若每一個供應商的風險評估需要靠人力來執行，哪必然是對企業要花費極大的人力成本與時間成本。

而Panorays解決方案可以”減少人力成本”並”縮短”供應商的”評估時間”，最後得到的可以是”高品質的評估成果”進而減少企業的營運衝擊與商譽損失的風險。