当公司购买数码产品时,他们希望它们是安全的。在大多数情况下,他们不会测试数字供应链的漏洞,甚至没有足够的流程或工具来测试。黑客已经注意到,供应链网络攻击事件正在上升,这些攻击利用数字供应链内部的弱点,侵入组织的内部网络。因此,出现了许多头条新闻事件,这些事件不仅给相关公司带来耻辱,而且让那些希望知道自己的产品安全的高管们看到了这些威胁。

Leaders need new ways to reduce supply chain cybersecurity risks, whether they’re buying digital products and or producing them.

近年来,供应链漏洞导致了一些最严重的网络攻击。在2017年的Notpetya Cyber​​attack,发电厂,银行,地铁系统和世界上最大的集装箱运输公司只是通过乌克兰公司常用的会计软件包的更新过程提供的恶意软件的一些受害者。然后,恶意软件向每个公司的网络上传播到其他系统,导致其系统锁定。最近,在太阳风攻击2021年初,黑客在经过认证后向软件添加了恶意软件,准备好客户。在这两个实例(以及更多)邪恶的演员中使用漏洞,以供应商连接到系统并设置可用于稍后窃取IP,财务信息或安装在整个客户系统中传播的恶意软件的后门。

通常,公司文化是脆弱性的推动力。If you think that you’re not at risk for this kind of attack because your company doesn’t have information or connections hackers could exploit, your vendors have assured you that their systems are secure, your customers have validated that your systems are acceptable, or you haven’t discovered vulnerabilities, you are exactly the target hackers seek when they perpetuate the next attack. Understanding how your supply chain might be a target is step one, and building processes and mindset to保护和捍卫您的供应链是第二步。

Our work on建立网络安全文化为公司提供如何开发Cyber​​esecure产品的型号。最近,我们研究了三家大型知名的全球公司,看着产品开发团队的网络安全文化以及其数字供应链的安全管理。我们询问如何作为供应商来了解客户的网络安全需求,并作为客户,他们如何管理第三方供应商的风险。这些数据显示,管理人员经常陷入困境,以妨碍妨碍提供供应链的方式,并将公司暴露在一起,并且他们经常从顶部采取暗示。

网络安全没有得到优先考虑

Every manager and developer interviewed said that cybersecurity was important and should be designed into products — customers expected it and suppliers felt they should provide it. Even so, neither side took adequate steps to achieve this. That’s because products are usually purchased for the value-added features they provide, not because they are secure.

在这个展望中有两个关键的误判:第一,网络安全不会直接贡献收入;第二,网络安全是一个可以在项目后期根据需要轻松添加的功能。实际上,这两种方法都意味着网络安全优先于其他创收功能,并可能在产品开发过程的后期添加,因为漏洞是通过测试发现的,或者更糟的是,当产品投放市场时,客户会发现漏洞。

暗淡的网络安全会损害你的收入。

尽管认识到其重要性,但我们谈到的一些高管与我们相信客户不会缴纳网络安全。他们将其与新购买的汽车上的轮胎进行了比较:每个人都希望一辆汽车带着轮胎来,他们不期望额外付出额外费用,因为它有轮胎。因此,公司优先考虑销售点,例如特征集和速度上市,这被认为为客户创造价值,将安全性作为次要考虑因素。事实上,我们的研究中的设计师 - 他们自己在他们的产品设计中使用的工具和图书馆的客户,优先考虑了他们使用的组件的安全性。

然而,我们看到有证据表明,客户开始意识到网络安全并不总是有保障的——而且他们越来越把网络安全作为一个优先事项。达不到预期可能会损害你的底线:正如我们研究的一家公司所发现的那样,数字产品中的网络安全不足会关闭与客户的对话。

企业客户开始更彻底地审查他们购买的软件。一些人明确要求他们购买的产品具有网络安全性,要求提供证据证明用于创建这些购买的供应链也优先考虑了安全性,或者坚持要求供应商填写复杂的安全调查问卷。其他的包括独立的安全测试作为验收过程的一部分。对于关键基础设施组织、军队和金融服务等客户来说,验证产品的网络安全性已经是一项重要任务事实上标准。即使对于具有独特市场所需的功能的产品,通常需要在采用之前提高网络安全。事实上,网络安全越来越多地建立在合同中,以阻止供应商对其产品的网络安全风险负责,并通过延长,供应链用于创造这些产品。

换句话说,虽然功能仍然销售产品,但是LAX安全性很快成为一个非启动器。

网络安全并不容易加上稍后添加。

尽管对安全性进行了唇部服务,但许多软件开发过程在概念阶段不优先考虑安全性。相反,在发现漏洞时,可以考虑安全性,并且这可能是昂贵的。与我们共享的更麻烦的方法是,有时领导者认为他们需要快速获得产品,即使易受攻击,在市场上仍然可行。他们决定发布具有已知安全问题的产品,或者临时解决方案和解决方法,以将产品销往市场。被剥削的漏洞的风险被认为是低的,但以后修复它的成本可以很高。虽然这可能是满足市场时机机会的好方法,但它意味着客户和客户,留给其供应链中的漏洞。

但是网络安全的追求不易,也不便宜。更常见的是,如果可能的是,将网络安全改装为产品,这是昂贵的。网络安全 - 作为追求的额外费用,延迟和潜在的重新设计。一位经理分享了查找漏洞的经验,然后必须重新制作整个产品。没有简单的修复。一旦新的设计完成,就不再为设想的市场提供了经济上可行的。

领导者如何确保他们的供应链

为了加强我们的供应链,领导者必须直接解决这些误导性心态。

供应链深入的挥之不去的问题可能导致整个供应链的成本和威胁。领导者有责任彻底解决安全问题并消除漏洞,因此供应链可以依靠Cyber​​Ecure产品,即使客户不直接要求它。以下是您今天可以做的四件事,以加强您的产品和整个供应链:

使安全成为卖点.市场推出您的产品,以“设计和建造并考虑网络安全。”使用网络安全作为卖点向客户提供了强大的信息:您的产品比没有被烘焙的网络安全更好,也许更重要的是,领导者非常认真对待网络安全。客户越来越关注您的产品的安全性,并且您可以通过使其成为一个功能来领先于曲线。此外,营销材料中的安全性也会影响您的设计团队,并将有助于创造安全性态度,以便在开发人员提供的设计方面提供安全。

激励开发人员优先考虑安全性.确保客户的网络安全要求是众所周知的。在我们的研究中,我们经常听说设计师从未见过面,也不知道客户从安全性的角度所需的内容。他们依靠产品所有者(通常来自公司的不同区域,例如营销)来传达所需的内容。开发人员很容易从客户关注和需求中脱离。当客户明确讨论网络安全与开发团队的需求时,开发人员会注意到,这种认可会激励他们。

激励开发人员优先考虑安全性的另一种方法是使安全成为高管的知名优先级。一旦团队成员知道对其领导者很重要,那么对他们来说变得重要。

教授产品开发人员有关安全风险.许多产品开发人员,特别是最高级的产品,当网络安全并不像现在严重威胁时进入了该领域。这是他们的新世界。您可能需要培训产品设计人员在设计数字产品时对网络安全进行正确的权衡。他们不需要成为网络安全专家,但产品开发团队需要多个层面的网络安全专业知识。由于产品设计人员在提供的概念中,他们需要知道并相信制作创建Cyber​​eCure产品的基本权衡的工作。为此,他们需要与他们的产品相关的基本安全知识,然后他们需要在他们的团队中易于使用更深层次的专业知识。

帮助您的供应商优先考虑他们的安全和他们的供应链的安全.向您的供应商询问他们的产品和供应链的安全性。基于他们的网络安全姿势,文化和优先级审查它们。告诉他们它对你很重要。拥有完整的冗长问卷是一种方式,但更多的影响是关于高管,营销,产品所有者以及开发人员的安全优先级的持续对话。开发人员选择供应商时,他们需要知道哪些供应商是值得信赖性并使安全性的优先级。通过将网络安全与公司进行与公司进行业务的优先级,您将展示您对客户及其整个供应链的承诺。

在数字时代,诚信是企业品牌越来越重要的一部分。被信任意味着客户相信你的产品不仅能做到你所说的,而且能以网络安全的方式做到。信任意味着您的产品不会因为网络安全漏洞而损害客户的声誉。没有人想成为下一个关于不安全供应链漏洞攻击的头条新闻。领导者在确保供应链尽可能安全方面扮演着特殊的角色,包括他们作为供应商开发的数字产品和作为客户使用的数字产品。

承认:这项研究部分得到了麻省理工学院斯隆分校网络安全联合会成员的资助。所有作者对这篇论文的贡献是平等的。