NIST发布了管理供应链风险的最新网络安全指南

美国国家标准与技术研究所（NIST）周四发布了最新的网络安全指南，以管理供应链中的风险，因为它越来越成为一种利润丰厚的攻击向量。

NIST在一份声明中表示：“它鼓励组织不仅考虑他们正在考虑使用的成品的脆弱性，还考虑可能在其他地方开发的组件的脆弱性，以及这些组件到达目的地的过程。”

新指令概述了实体应采取的主要安全控制和实践，以识别、评估和应对供应链不同阶段的风险，包括恶意功能的可能性、第三方软件的缺陷、插入假冒硬件以及不良的制造和开发实践。

此前，美国总统于去年5月发布了一项关于“改善国家网络安全（14028）”的行政命令，要求政府机构采取措施“提高软件供应链的安全性和完整性，优先解决关键软件问题”。

此外，近年来，供应链中的网络安全风险已成为最突出的问题，部分原因是针对广泛使用的软件的一波攻击，导致数十家下游供应商同时遭到攻击。

根据欧盟网络安全署（ENISA）的供应链攻击威胁图，在2020年1月至2021年初记录的24起攻击中，62%被发现“利用客户对其供应商的信任”。

NIST的Jon Boyens和该出版物的作者之一表示：“管理供应链的网络安全是一种需要，这一需要将继续存在”。“如果您的机构或组织还没有开始使用它，这是一个全面的工具，可以让您从爬行到步行再到跑步，它可以帮助您立即做到这一点。”