GARP：SolarWinds事件给供应链风险管理的警示

SolarWinds事件可能是近年来最严重的网络事件之一。2020年底，网络安全公司FireEye发布安全通告，称他们在跟踪一起被命名为UNC2452的攻击活动中，发现了SolarWinds Orion软件在2020年3月到6月期间发布的版本均受到供应链攻击。攻击者在不同版本中植入了恶意的后门应用程序，这些程序利用SolarWinds的数字证书绕过验证，伪装成Orion Improvement Program（OIP）协议并潜入到插件配置文件中。与此同时，SolarWinds官方发布通告，承认其Orion平台部分软件更新中被黑客植入恶意软件，提醒用户尽快更新到不受影响的版本。

在整个事件中，攻击者入侵了政府、国防和军事部门，以及许多中小型公司，多达1.8万的Orion客户面临着这次供应链攻击带来的巨大威胁。

SolarWinds事件引起了人们的警觉：拥有独立的网络安全，供应链和企业风险管理（ERM，enterprise risk management）部门已经不再是最安全的防护了。面对日益严峻的网络安全问题，企业需要做好全方位的防护。

Marianne Bailey女士是美国政府客户管理咨询服务的主要供应商之一Guidehouse公司的合伙人和网络安全解决方案负责人。她说，强大的网络安全系统需要建立在可信赖的、经过验证的供应链系统上，并具有有效的ERM功能和实践。企业应对员工就网络安全进行培训，制定标准操作程序，通过建立公司治理氛围，形成风险文化。网络安全应该全方位融入到企业管理中，而不仅仅是作为IT职能存在。

随着政府和网络安全专家对SolarWinds入侵的调查，我们得到了一些重要的教训，其中有些是以前网络开发和攻击中早就提到过的教训。大多数问题的起因是网络防护薄弱以及缺乏有效的IT流程控制。很明显，入侵是通过供应链访问点发生的，供应链访问点越来越成为攻击的靶心。

Jason Dury先生是Guidehouse公司开放源代码解决方案总监。他认为，像其它供应链攻击一样，SolarWinds入侵不仅阻碍商业运作，而且还损害政府和企业的品牌和声誉，甚至给客户、员工、隐私数据和系统带来巨大危害。

SolarWinds攻击的复杂性表明，企业需要有效的安全程序来管理与机构策略相关的特定风险。企业应该从ERM、网络安全和供应链风险管理的角度来综合考虑这些问题。

加倍保障基本的网络清洁（cyber hygiene）仍然是重中之重。在SolarWinds案例中，我们可以看到入侵者利用了安全漏洞，其中不少节点因为访问管理不到位、密码设置不安全以及配置管理无效，更加剧了漏洞的广度和深度。

风险管理人员同样需要了解第三方数字连接，因为使用第三方供应商可能会带来重大风险。SolarWinds只是供应商或供应链遭受攻击的实例之一，事实上目前各种供应链攻击数不胜数。企业在管理自身安全隐患的同时，也需要了解商品、组件、软件和供应商的安全漏洞。另外，了解客户所使用系统的潜在漏洞也至关重要。如果您以数字方式链接到客户端口，就需要真正了解对方的系统安全性，因为数字链接端口是入侵者的攻击途径（attack vector）。

同时，风险管理人员还要识别并保护关键的系统和数据，确保真正了解公司业务和运营的最关键的数据和系统，全面清点最关键的资产和数据。风险管理人员要尽可能多地了解您的组织如何共享数据、与谁共享数据、数据在传输和静止状态下的安全性以及这些数据将如何受到下游用户的保护。数据在机构网络环境中的存放位置是至关重要的。

使用工具来验证和保护您的供应链，使用供应链软件整合系统来确保实施。举例来说，越来越多的软件销售商会记录他们在编写或汇编计算机代码时的每个步骤，这份记录就提供了有效的验证手段，以确保软件没有被入侵者插入代码或更改了密码。

企业需要为意外事件做好准备，并进行演习和讨论。有效的应对计划需要针对怎样防范供应链入侵或其他大规模破坏进行培训。同时还要在组织内建立有效沟通机制。有效和透明的沟通可以使各部门协调一致，成功地应对威胁。

风险管理人员要整合网络安全、供应链风险和ERM功能报告，以提供更多信息，并更清晰地展现企业面临的风险与机遇的相互联系。整合这三个风险规程，可以更清楚地了解潜在风险对机构策略的影响，从而使管理层能做出更有效的决策。

最后，需要强调的是，风险管理人员必须注意自动报警系统发出的任何警报，这是有效控制网络安全、供应链和企业风险管理的基本控制措施。当时SolarWinds的问题是怎样被发现的呢？是系统在检查注册新手机、笔记本电脑或其它设备时，发现了异常并发出了警报。随后，工作人员通过调查发现，不是新注册的设备有问题，而是网络被攻击了。如果不是工作人员重视系统警报，我们可能至今都不知道SolarWinds的问题。因此，认真处理每个小警告，都对系统安全有很大的帮助。

Kate Sylvis女士是Guidehouse的董事和企业风险管理解决方案负责人。她认为，SolarWinds敲响了警钟，让我们评估和重新审视供应链风险管理和网络安全实践，重新衡量它们融入ERM系统的重要性。

企业需要根据适当的标准，例如美国国家标准技术研究院（NIST）、互联网安全中心（CIS）和国际标准化组织（ISO）等组织发布的标准，来评估漏洞、加强对身份和访问管理、最低权限和配置管理等领。对于供应链，要有一个风险管理程序来评估产品、工具和供应商风险，包括供应商的安全性、运营的风险环境、外国政府接触点（touch points）、财务状况，以便更好地了解风险并进行适当的管理。

本文来自GARP，版权归GARP所有，如有侵权请联系删除！