功能,活动,交易和人员在一个完整的价值链中相互联系,产品或服务(无论是物理的还是虚拟的)不断地从供应商和制造商流向分销商,Zui后流向消费者。整合和协调这些流程,以及监督材料,信息和财务等所有相关要素是供应链管理(SCM)的全部内容。
在物联网(IoT)时代,供应链管理不再局限于电子数据交换(EDI)和企业对企业集成解决方案。今天的实时,数据依赖型经济要求供应链通过利用以数据为中心的SCM方法来获得更大的问责制,治理和可见性。
这种以数据为中心的方法使企业能够无缝协作并有效地处理数据,并具有以下优势:
业务元素的无缝集成
一个Zui近的IDC报告显示,供应链应通过综合方法关闭循环供应链管理。也就是说,必须集成云中的所有应用程序,业务单位和数据,以获得更好的信息流,从而实现更好的商品和服务流。不同业务元素的集成可以Zui大限度地降低获取错误数据的风险,并避免延迟,数据重复和错误。此外,对供应链计划和供应链执行采取一致的方法有助于供应链提高速度并消除流程复杂性。
数据管理的Schema-on-Read方法
利用基于按需,可扩展架构的大数据技术,可以帮助供应链管理数据,并在消费时支持数据建模 -无论何时何地,只需业务需求。这为企业提供了大量的灵活性,使其能够消费业务数据,并为未来的参考和消费年份提供数据存储。以这种方式管理数据还使组织能够保持所有数据交换和利用,从而有助于确保准确性和安全性。
实时数据透明度
获取数据完整性和可见性有助于解决供应链不稳定问题。通过可靠的大数据技术以及易于使用,可定制的系统接口,可以实现对原始数据和数据流谱系的透明化。数据透明的概念使组织能够更好地协调其供应链中的所有功能,从而消除部门信息孤岛并提高效率。
网络供应链风险是一个难以管理的领域。据NIST称,所有违规行为中有80%来自供应链,这意味着它应该成为任何安全意识组织尝试和管理风险的明确优先事项。这个数字是由JonBoyens在2016年RSA会议上的演讲中提供的。由于供应商信息安全措施不佳,许多大公司遭到破坏,例如Target和HomeDepot。
您真正的攻击面包括与您有业务往来的人 - 以及他们再次与之合作的人。这不是你控制范围内的全部!
大多数公司没有对其供应商进行任何形式的网络安全筛选。考虑到上述事实,这似乎是一个非常糟糕的主意。为什么会这样?
很多人认为网络安全很难。除非您拥有这样做的工具和知识,否则威胁环境本身很难评估。大多数公司内部没有这种能力,他们通常不知道他们在关键风险治理领域缺乏专业知识。
为什么供应商在网络安全方面很重要?Zui重要的因素是您信任您的供应商,并且您可能已经与他们共享认证机密。考虑以下场景;
- 您的HVAC服务提供商可以通过VPN访问您的网络,以便对办公室中的HVAC系统进行故障排除。如果黑客获得对HVAC供应商计算机的控制权,该怎么办?然后他们也可以访问您的网络。
- 您经常与之沟通的供应商遭到黑客入侵。您收到来自该公司的某个联系人的电子邮件,询问您是否可以通过登录其基于Web的自助服务解决方案来验证您的客户信息。如果网页看起来很专业,你有什么机会这样做?你至少会点击链接。
- 您正在与供应商讨论合同提案。在几周之后来回传递有关详细信息的电子邮件后,他向您发送了一份下载链接,指向其法律部门提出的合同文件。你点击了吗?
所有这些都是真实的用例。所有这些人都成功地想要访问更大的公司网络的网络犯罪分子。技术设置没有被利用;在HVAC案例中,供应商的登录凭证被盗和滥用(这是目标攻击导致7000万客户信用卡泄漏)。在另外两种情况下,使用现有的信任关系来提高鱼叉式网络钓鱼攻击的可信度。
为了对抗社会工程,大多数公司提供“网络安全意识培训”。这可能会有所帮助,并且可以减少诱骗员工执行危险行为的难易程度。当犯罪分子利用现有的信任关系时,这种培训不太可能产生任何影响。此外,您的意识培训可能只包括您自己的组织。通过建立的买方-供应商关系,Zui初的攻击面不仅是您自己的组织,而且还扩展到包括与您有业务往来的所有组织。他们的攻击面再次包括与他们有业务往来的人。这很快扩展到一个非常大的网络。您显然无法管理整个网络- 但您可以做的是评估使用特定供应商的风险,
筛选供应商组织的背景风险
那么什么决定了供应商的风险水平?显然,供应商组织内部的事务很重要,但至少在潜在供应商的早期筛选中,这些信息是不可用的。供应商也可能不愿透露太多有关其公司的信息。这意味着您只能评估供应商的外部环境。事实证明,您可以使用几个指标来衡量供应商违规的可能性。主要因素包括:
- 供应商运营的主要位置,包括公司职能。
- 公司的规模。
- 该公司经营的部门。
除了这些可以帮助确定组织被破坏的可能性的因素之外,您还应该考虑供应商将拥有哪些关于您公司的信息。显然,有人为您的网络提供VPN登录凭据的人比您为员工订购加班食品的餐馆更受关注。特别值得关注的是供应商或合作伙伴,他们可以访问关键业务机密,使用登录凭据或访问关键应用程序编程接口。
回到供应商的外部环境,为什么供应商的运营地点很重要?事实证明,公司所面临的恶意软件活动数量与公司运营所在国家的政治风险密切相关。在犯罪率高,腐败严重,对民主和言论自由持怀疑态度的国家经营的公司也往往更多地受到外部的攻击。他们也更有可能拥有未经许可的软件,例如盗版Windows- 使他们更容易受到这些攻击。
公司的规模也是一个有趣的指标。较小的公司,即少于250名员工,具有较低比例的恶意传入通信。与此同时,这些公司的辩护往往很薄弱;他们中的许多人缺乏管理信息安全的流程,而且该群体中的许多公司都没有内部网络安全专业知识。
中型公司(250-500名员工)接收更多恶意通信。这些公司通常也缺乏正式的网络安全计划,这里也缺乏能力,特别是在流程方面。例如,此类别中很少有公司建立了信息安全管理系统。
较大的公司仍然会收到大量的恶意通信,但他们往往拥有更好的防御系统,包括管理流程。因此,中小型企业对价值链开发构成的威胁要大于规模较大,规模较大的企业。
此外,供应商运营的部门是外部环境风险的决定因素。特别暴露于网络攻击的部门包括:
- 零售。
- 公共部门和政府机构。
- 商业服务(咨询公司,律师,会计师等)。
在这里,“我共享什么信息”的主题出现。除非您是零售商供应链的一部分,否则您可能不太可能与零售商共享内部公司数据。如果你是,那么你应该考虑一些控制,特别是如果零售商是一个中小型企业。
对于许多公司而言,“商业服务”类别是关键利益。这些是您经常与之共享重要信息的服务提供商。咨询公司可以访问战略信息,访问您的IT网络,并了解公司中的许多关键利益相关者。律师显然可以获得机密信息。会计师将受到信任,可以访问信息,也可能访问您的ERP系统。商业服务提供商通常获得别的访问权限,并且经常成为网络犯罪分子和其他黑客的目标;这是一个很好的理由,要警惕管理买方 - 供应商关系中的安全性。
现实评估需要Zui新的威胁情报
在为公司选择供应商而非安全性时,有更多因素可以发挥作用。假设您有一个考虑到的评估方案:
- 金融
- 容量
- 服务水平
- 而现在......网络安全
如果使用供应商的风险被认为过高,您Zui终可能会选择更昂贵的供应商,或者服务水平低于“”供应商但风险较高的供应商。因此,基于Zui新的威胁模型进行情境风险评估变得非常重要,即使对于上面讨论的宏观指标也是如此。
查看历史数据显示,公司规模的威胁影响随着时间的推移保持相对稳定。大公司往往比小公司有更好的治理。从积极的方面来看,规模较小的公司往往更倾向于在风险治理方面进行合作而不是更大的参与者。然而,在理解威胁情境时,这通常不成问题。
政治风险更加不稳定。各国的政治变化可能很快发生,政治变革的影响可能微妙但对网络安全环境很重要。此因素取决于Zui新的威胁情报,主要来自开源。这意味着当您建立上下文威胁模型时,您应该注意保持Zui新的政治风险因素,这些因素至少在每季度都会发生变化,甚至可能会突然发生变化。较慢的流程将是立法程序,不仅影响企业如何处理网络威胁,而且影响政府层面。当今该领域的主要不确定因素包括情报组织对通信数据的访问以及隐私法的演变。
此外,行业对网络威胁级别的影响确实会动态变化。在这里,威胁情报并不容易访问,但确实存在一些开源。可以考虑调整业务部门风险评估的开放式英特尔资源是:
- 一般商业新闻和金融市场趋势。
- 来自网络安全公司的威胁情报报告。
- 公司年度报告。
- 影响该部门的法规,也在政治风险下提到。
- 针对每个部门都很重要的业务关键软件的漏洞报告。
除此之外,不太开放的兴趣来源是:
- 在这些部门内工作的联系人可以访问有关网络威胁的趋势数据(例如,关键公司IT部门的系统管理员)。
- 关键网络中的传感器(通常由政府安全组织运营),信息共享通常发生在CERT组织中。
显然,保持在威胁环境之上是一项具有挑战性的任务,但如果不这样做,可能会导致风险评估薄弱,从而以错误的方式影响业务决策。因此,了解威胁形势是一种商业投资,其中预期回报是长期的,难以衡量。
广州纵道软件有限公司是一家专业提供企业级互联网软件高新技术企业,专注于互联网应用解决方案和企业ERP软件产品研发和技术服务。纵道软件以技术为客户创造价值为经营理念,坚持自主研发产品路线,为客户提供安全可靠的软件解决方案。经过多年产品打磨和项目经验,纵道软件打造了零售、电商、汽配、餐饮等行业应用软件产品。基于公司良好的互联网架构能力和完备的研发团队,纵道软件可为客户提供互联网解决方案的定制化技术服务。我们曾服务过的典型代表客户品牌有链家、Cabbeen、DIKENI、嘉实多、若羽臣、KFC、金蝶、用友、速达、华胜等。
http://zongdaosoft.com/