IBV-全維度供應(yīng)鏈數(shù)字化-軟件定義未來的網(wǎng)絡(luò)安全-2024.08-32正式版

IBM業(yè)價(jià)研究院|研究察全維度供應(yīng)鏈數(shù)字化軟件定義未來的網(wǎng)絡(luò)安全關(guān)于微軟與IBM的合作伙伴關(guān)系微軟和IBM建立了戰(zhàn)略合作伙伴關(guān)系，旨在幫助組織實(shí)現(xiàn)全的企業(yè)級(jí)威脅管理。我們提供相互協(xié)的安全解決方案，讓組織滿懷信心地在微軟云上加速遷移、現(xiàn)代化和業(yè)務(wù)轉(zhuǎn)型。IBM提供全的云安全產(chǎn)和優(yōu)化安全資的戰(zhàn)略與風(fēng)險(xiǎn)咨詢、保護(hù)和實(shí)現(xiàn)數(shù)字信任的解決方案、威脅管理功能的實(shí)施和運(yùn)營，以及利用現(xiàn)有資信息，請(qǐng)?jiān)L問：IBM如何提供幫助IBMSecurity?是得信賴的合作伙伴，可為您提供融合AI的技術(shù)和服務(wù)，滿足不斷發(fā)展的業(yè)務(wù)需求。我們的現(xiàn)代化安全戰(zhàn)略方法讓您能夠充分利用數(shù)字創(chuàng)新，并在充滿不確定性和網(wǎng)絡(luò)威脅的環(huán)境中蓬勃發(fā)展。如需了解更多信息，請(qǐng)?jiān)L問：摘要供應(yīng)鏈對(duì)于保障物理供應(yīng)網(wǎng)絡(luò)風(fēng)險(xiǎn)和供應(yīng)鏈風(fēng)險(xiǎn)鏈安全至關(guān)重。日趨融合。物理操作日益依賴于數(shù)字控制。在選擇供應(yīng)時(shí)，高管往往更注重成本，而忽視高成本的風(fēng)險(xiǎn)因素。和接供應(yīng)通常未將常規(guī)的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理實(shí)施到位。AI可以更好地整合網(wǎng)絡(luò)和供應(yīng)鏈運(yùn)營，從而增強(qiáng)運(yùn)營韌性。組織可以利用先進(jìn)技術(shù)來改協(xié)作并降低供應(yīng)1駕馭新風(fēng)險(xiǎn)時(shí)代過去，供應(yīng)鏈主數(shù)字技術(shù)在供應(yīng)鏈中的核心作用日益增強(qiáng)，不僅大幅提升了效率，也引入了新的、經(jīng)常被低估的風(fēng)險(xiǎn)。盡管企業(yè)紛紛開始力增強(qiáng)供應(yīng)鏈韌性，但仍有許多企業(yè)的供應(yīng)鏈網(wǎng)絡(luò)露在網(wǎng)絡(luò)風(fēng)險(xiǎn)中。隨暗網(wǎng)網(wǎng)絡(luò)犯罪市場(chǎng)日趨成熟，網(wǎng)絡(luò)攻擊者在蓬勃發(fā)展的“網(wǎng)絡(luò)犯罪即服務(wù)”生態(tài)系1統(tǒng)中共資，這使得惡意人員更容易針對(duì)供應(yīng)鏈中的薄弱環(huán)節(jié)發(fā)起攻擊。他們通常會(huì)2針對(duì)資較多的細(xì)分供應(yīng)進(jìn)行攻擊。換句話說，大型供應(yīng)鏈網(wǎng)絡(luò)中的大多3數(shù)公司都可能成為攻擊目標(biāo)。4的受訪組織至少有一家供應(yīng)另一項(xiàng)5。為了深入理解網(wǎng)絡(luò)安全因素如何影響價(jià)鏈、供應(yīng)鏈和生態(tài)系統(tǒng)的發(fā)展，IBM研究院(IBMIBV)與微軟合作，針對(duì)全球各行業(yè)的2,000名安全和運(yùn)營主管開展了一項(xiàng)調(diào)研（請(qǐng)參閱第26頁的“研究和分析方法”）。調(diào)研結(jié)果表明，高管對(duì)供應(yīng)風(fēng)險(xiǎn)和網(wǎng)絡(luò)漏的認(rèn)識(shí)令人擔(dān)憂。盡管74%的受訪者表示供應(yīng)鏈韌性對(duì)于其組織的成功至關(guān)重40%的受訪者認(rèn)為生態(tài)系統(tǒng)正在擴(kuò)大網(wǎng)絡(luò)攻擊。而且，只有不到三分之一的受訪組織正在通過優(yōu)先的資計(jì)劃來建立安全、互聯(lián)的供應(yīng)鏈運(yùn)營生態(tài)系統(tǒng)。2一部分組織認(rèn)為網(wǎng)絡(luò)風(fēng)險(xiǎn)與供應(yīng)鏈風(fēng)險(xiǎn)的管理相互依存的，這部分觀點(diǎn)組織遭遇的供應(yīng)鏈中斷明顯減少。首問題：6什么“供應(yīng)鏈”？根據(jù)IBM研究院的調(diào)研，一部分組織認(rèn)為網(wǎng)供應(yīng)鏈指產(chǎn)開發(fā)和銷絡(luò)風(fēng)險(xiǎn)與供應(yīng)鏈風(fēng)險(xiǎn)的管理相互依存的，而這部分組系統(tǒng)組成的網(wǎng)絡(luò)。供應(yīng)鏈涵蓋從資、活動(dòng)和技術(shù)/IT織遭遇的供應(yīng)鏈中斷明顯較少。然而，由于分散的決策供應(yīng)向制造供應(yīng)材料到產(chǎn)最終交付給最終用和薄弱的網(wǎng)絡(luò)安全實(shí)踐加劇了負(fù)因素，許多組織都難戶的整個(gè)過程。以悉潛在威脅及其對(duì)運(yùn)營的影響。軟件供應(yīng)鏈則涵蓋軟件開發(fā)生命周期中接觸代碼的所本報(bào)告探討了在調(diào)研中發(fā)現(xiàn)的三項(xiàng)關(guān)鍵網(wǎng)絡(luò)風(fēng)險(xiǎn)管理有礎(chǔ)架構(gòu)、挑戰(zhàn)。針對(duì)每一項(xiàng)挑戰(zhàn)，我們提出了相應(yīng)的機(jī)遇，即硬件、操作系統(tǒng)、云服務(wù)）、代碼編寫人員以及代碼如何通過克服挑戰(zhàn)來增強(qiáng)供應(yīng)鏈韌性。每個(gè)部分還附存儲(chǔ)庫、代碼庫或其他開的來，如注冊(cè)表、GitHub有簡明的行動(dòng)方案，企業(yè)高管可以采取這些具體步驟，項(xiàng)目。其中還包括可能對(duì)軟件安全產(chǎn)生負(fù)影響的更有效地在其組織和生態(tài)系統(tǒng)中整合網(wǎng)絡(luò)風(fēng)險(xiǎn)和供應(yīng)任何漏。鏈風(fēng)險(xiǎn)管理。挑戰(zhàn)一：規(guī)模龐大數(shù)字供應(yīng)鏈運(yùn)營和風(fēng)險(xiǎn)迅激增供應(yīng)網(wǎng)絡(luò)正在迅速擴(kuò)展。本調(diào)研表明，受訪組織擁有龐大的接和接供應(yīng)網(wǎng)絡(luò)。根據(jù)所有行業(yè)受訪高管的數(shù)據(jù)，每家組織平均擁有家接供應(yīng)。而如果計(jì)入間接供應(yīng)數(shù)量數(shù)量的五倍，即家。這些接和接供應(yīng)共構(gòu)成―圖1不斷擴(kuò)大的供應(yīng)網(wǎng)絡(luò)帶來了龐大的攻擊，為入侵關(guān)鍵基礎(chǔ)架構(gòu)和運(yùn)營提供了許多切入點(diǎn)。+總數(shù)等于20倍數(shù)量等于26,964數(shù)量3%10倍數(shù)量14,12417%5倍7,704數(shù)量1倍48%數(shù)量2,568（32%1,284數(shù)量平均值問：有多少接供應(yīng)為貴組織的關(guān)鍵供應(yīng)鏈提供支持？問：估計(jì)有多少接（第n方）供應(yīng)為貴組織的接供應(yīng)提供支持？4供應(yīng)網(wǎng)絡(luò)如此龐大，使得組織預(yù)測(cè)潛在中斷變得非常這一現(xiàn)狀給供應(yīng)鏈應(yīng)用和服務(wù)的安全性帶來了巨大的壓困難，甚至不可能，更不用說協(xié)有效的應(yīng)對(duì)措施了。力。在過去三年中，針對(duì)各行業(yè)受訪者調(diào)研的主發(fā)現(xiàn)這將對(duì)運(yùn)營產(chǎn)生巨大的影響。與供應(yīng)數(shù)量最少的組織包括：數(shù)量最多的組織遇到的嚴(yán)重運(yùn)營影響事件–近40%出的受訪者表示其組織遭遇過需采取非常措施來應(yīng)對(duì)的網(wǎng)絡(luò)安全事件，或?qū)\(yùn)營產(chǎn)生持久而實(shí)質(zhì)絡(luò)事件、人才和材料短缺以及極端天氣事件（參見第性影響的網(wǎng)絡(luò)安全事件。–超過一半(52%)的受訪者表示其組織的供應(yīng)鏈應(yīng)事實(shí)上，在高度互聯(lián)的供應(yīng)鏈環(huán)境中，網(wǎng)絡(luò)事件往往會(huì)用和服務(wù)曾遭遇重大或嚴(yán)重中斷。成為引發(fā)嚴(yán)重中斷的導(dǎo)火索。盡管本調(diào)研表明，受訪–與其他職能領(lǐng)域相比，者并未遭受過通過供應(yīng)發(fā)起的大規(guī)模網(wǎng)絡(luò)攻擊，但應(yīng)用和服務(wù)中斷對(duì)運(yùn)營產(chǎn)30%的受訪者表示在過去三年中因第三方漏而遭受

生的影響更為顯著。過攻擊。最近的一份報(bào)告表明，這一問題正變得日益普展望未來，65%

遍：41%的受訪者認(rèn)為供應(yīng)鏈中斷可能發(fā)生在的受訪組織表示遭受過由第三方導(dǎo)致的重大組織的礎(chǔ)架構(gòu)中，另有53%的受訪者認(rèn)為供應(yīng)鏈7網(wǎng)絡(luò)事件。中斷可能發(fā)生在組織的應(yīng)用和服務(wù)中（見圖2）。圖2IT相關(guān)職能供應(yīng)鏈中斷最有可能發(fā)生且受影響最嚴(yán)重的領(lǐng)域。組織百分比供應(yīng)鏈中斷產(chǎn)生巨大影響50%應(yīng)用和服務(wù)40%運(yùn)輸尋源需求規(guī)劃30%分發(fā)庫存管理采購基礎(chǔ)架構(gòu)20%制造訂單管理10%10%20%30%40%50%60%70%組織百分比中斷可能性很高問：供應(yīng)鏈中斷最有可能發(fā)生在哪里？回答“可能”和“極有可能”的受訪者百分比。問：哪些職能領(lǐng)域最容易受到供應(yīng)鏈中斷的影響？回答“影響中等”和“影響重大”的受訪者百分比。5機(jī)遇：利用“安全設(shè)計(jì)”方法增強(qiáng)網(wǎng)絡(luò)和供應(yīng)鏈韌性。鑒于廣泛的業(yè)務(wù)合作伙伴關(guān)系，組織需采用一種新方網(wǎng)絡(luò)風(fēng)險(xiǎn)管理法來保障供應(yīng)鏈安全，即認(rèn)識(shí)到內(nèi)部和外部平臺(tái)與服務(wù)之的共功能。許多供應(yīng)鏈輸入和輸出都使用通用礎(chǔ)架構(gòu)來實(shí)現(xiàn)和交付的，這為組織帶來了優(yōu)勢(shì)。如果將網(wǎng)絡(luò)風(fēng)險(xiǎn)和供應(yīng)鏈風(fēng)險(xiǎn)管理視為相互關(guān)聯(lián)的關(guān)系，則這兩個(gè)維度的能力都會(huì)變得更加強(qiáng)大。這就像一種DNA雙螺旋結(jié)構(gòu)，網(wǎng)絡(luò)韌性和供應(yīng)鏈韌性會(huì)相互增強(qiáng)。兩者凝聚為一股合力，可改效率、協(xié)創(chuàng)造；但時(shí)也代表了兩種相互依賴且并行發(fā)展的能力。提高可視性和治理能力對(duì)于組織內(nèi)部，乃至整個(gè)供應(yīng)鏈和合作伙伴生態(tài)系統(tǒng)都至關(guān)重。從更實(shí)際的層來說，這種程度的整合什么樣的？這供應(yīng)、分銷到產(chǎn)生命周期結(jié)束，網(wǎng)絡(luò)風(fēng)險(xiǎn)管理、安全和韌性均處于重地位。作為第一步，供應(yīng)鏈和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者可以效仿軟件和硬件開發(fā)社區(qū)的做法，采用“安全設(shè)計(jì)”則，也稱為“左移”。這種方法將安全置于決策的最前沿，而不事后再“亡8羊補(bǔ)牢”。通過將“安全設(shè)計(jì)”應(yīng)用于供應(yīng)鏈的每一個(gè)階段，可推動(dòng)運(yùn)營各方優(yōu)先加強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理和協(xié)同治理實(shí)踐。這有助于促進(jìn)各職能部門以及整個(gè)合作伙伴生態(tài)系統(tǒng)的協(xié)作。這帶來了諸多優(yōu)勢(shì)，例如能夠盡早發(fā)現(xiàn)潛在漏、分最佳實(shí)踐，以及有助于協(xié)應(yīng)對(duì)威脅（參見第8頁的案例研究：“汽車制造采用全新的安供應(yīng)鏈風(fēng)險(xiǎn)管理全優(yōu)先思維”）。6這種方法有助于改運(yùn)營和業(yè)務(wù)成效。根據(jù)IBM行動(dòng)：采用“安全設(shè)計(jì)”方法優(yōu)先價(jià)研究院的分析，在網(wǎng)絡(luò)風(fēng)險(xiǎn)和供應(yīng)鏈風(fēng)險(xiǎn)管理領(lǐng)域具有更高成熟度的組織實(shí)現(xiàn)了更出眾的安全資回報(bào)率增強(qiáng)供應(yīng)鏈運(yùn)營的安全性。（見圖3）。這兩個(gè)維度的成熟度相互強(qiáng)化。與表示受1.組建一個(gè)跨職能的供應(yīng)鏈風(fēng)險(xiǎn)管理團(tuán)隊(duì)，包括、到類似網(wǎng)絡(luò)安全事件嚴(yán)重影響的其他組織相比，此類組織在過去三年中遭遇的網(wǎng)絡(luò)事件少89%。和產(chǎn)安全專家，負(fù)責(zé)審查當(dāng)前的供應(yīng)鏈流程和系統(tǒng)。2.編寫一份供應(yīng)名單，并按關(guān)鍵性和風(fēng)險(xiǎn)露進(jìn)行細(xì)分。安排團(tuán)隊(duì)識(shí)別所有潛在的薄弱環(huán)節(jié)，涵蓋從供應(yīng)采購、物流到軟件分銷渠道的整個(gè)周期。3.然后，讓團(tuán)隊(duì)合作設(shè)計(jì)和整合安全控制措施，以緩解已識(shí)別的風(fēng)險(xiǎn)。圖3平均安全資回報(bào)率(ROSI)更成功地整合網(wǎng)絡(luò)風(fēng)險(xiǎn)和供應(yīng)鏈風(fēng)險(xiǎn)管理的組織實(shí)現(xiàn)了更高的安全投資回報(bào)率。高71%增幅網(wǎng)絡(luò)風(fēng)險(xiǎn)管理成熟度低低高供應(yīng)鏈風(fēng)險(xiǎn)管理成熟度IBM分析。7案例研究汽車制造采用全新的9安全優(yōu)先維隨汽車日益依賴于軟件，網(wǎng)絡(luò)安全對(duì)于保障汽車安全至關(guān)重?，F(xiàn)代汽車包含超過1.5億行代碼，自然也就增加了網(wǎng)絡(luò)攻擊的幾率。為了應(yīng)對(duì)這些威脅，各種新的法規(guī)不斷出臺(tái)，包括聯(lián)合國歐洲經(jīng)濟(jì)委員會(huì)(UNECE)發(fā)布的法規(guī)和ISO/SAE21434標(biāo)準(zhǔn)，旨在管理整個(gè)產(chǎn)生命周期中10的軟件網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。一家全球汽車制造意識(shí)到，實(shí)現(xiàn)全電動(dòng)化和拓展智能互聯(lián)汽車用戶群的宏大目標(biāo)，網(wǎng)絡(luò)安全將發(fā)揮至關(guān)重的作用。該公司還發(fā)現(xiàn)加速提高網(wǎng)絡(luò)安全成熟度已勢(shì)在必行資產(chǎn)樣本的風(fēng)險(xiǎn)量化評(píng)估表明，預(yù)計(jì)年損失超過10億美元，這一人的金額可能會(huì)威脅到未來的運(yùn)營和牌形象。MicrosoftAzure礎(chǔ)架構(gòu)和服務(wù)的長期資，該公司與IBM合作可能發(fā)生的事件。該流程采用一種全的“安全設(shè)計(jì)”方法，在整個(gè)運(yùn)營流程中嵌入安全功到企業(yè)的招聘和培訓(xùn)實(shí)踐。對(duì)于這家來說，這相當(dāng)于一種全新的思維方式。該公司不在安全漏出現(xiàn)后才去修補(bǔ)，而將安全作為連接車隊(duì)與后端服務(wù)、供應(yīng)生態(tài)系統(tǒng)與工廠車的本素，包括為其代碼庫做11。全的“安全設(shè)計(jì)”方法在整個(gè)運(yùn)營流程中嵌入安全功能和控制?從制造/OT和企業(yè)/IT，到合理化互聯(lián)產(chǎn)，再到員工招聘和訓(xùn)實(shí)踐。8挑戰(zhàn)二：管理分散分散管理網(wǎng)絡(luò)風(fēng)險(xiǎn)和供應(yīng)鏈風(fēng)險(xiǎn)的后果大多數(shù)組織的風(fēng)險(xiǎn)管理都處于一種各自為戰(zhàn)的分散狀態(tài)。不過，重大風(fēng)險(xiǎn)通常具有跨職能的性質(zhì)，因此不會(huì)遵循組織邊界，尤其管理物理和數(shù)字供應(yīng)鏈的組織邊界。盡管物理供應(yīng)鏈和數(shù)字供應(yīng)鏈都對(duì)收入有巨大的貢獻(xiàn)（見圖4），但組織缺乏將兩者風(fēng)險(xiǎn)責(zé)任聯(lián)系在一起的整體視圖。70%的受訪高管表示，物理風(fēng)險(xiǎn)和網(wǎng)絡(luò)風(fēng)險(xiǎn)由組織的不部門管理，因此可能會(huì)忽視或低估物理和數(shù)字威脅向量的共風(fēng)險(xiǎn)。圖4供應(yīng)鏈大部分已經(jīng)實(shí)現(xiàn)數(shù)字化。組織收入百分比數(shù)字供應(yīng)鏈占組織收入的近2/3問：估計(jì)貴組織的收入通過以下方式實(shí)現(xiàn)和達(dá)成的比例：通過物理供應(yīng)鏈、通過數(shù)字供應(yīng)鏈以及通過兩者的組合。2023年。由于四舍五入，百分比總數(shù)不等于100%。9機(jī)遇：利用和自動(dòng)化改內(nèi)部可從更具體的層來，物理和數(shù)字風(fēng)險(xiǎn)以及整個(gè)物理和數(shù)字供應(yīng)鏈的負(fù)責(zé)人員誰？根據(jù)IBM研究院的調(diào)研，這些職責(zé)分散在高管團(tuán)隊(duì)中（見圖5）。并沒有一位高管能夠全通過適當(dāng)?shù)闹卫?，?shù)字價(jià)鏈可以提高可見性并推動(dòng)能因公司規(guī)模和組織結(jié)構(gòu)而異，但如果風(fēng)險(xiǎn)管理和供應(yīng)有效協(xié)，從而超越組織內(nèi)的職能邊界并增強(qiáng)整個(gè)供鏈運(yùn)營由傳統(tǒng)職能部門來組織，則整個(gè)企業(yè)的協(xié)就會(huì)應(yīng)體系的能力。依托于云服務(wù)、物聯(lián)網(wǎng)和AI等技術(shù)，步的組織來說，互聯(lián)互通的供應(yīng)體系可促進(jìn)實(shí)時(shí)通信、協(xié)作、治理這一項(xiàng)更為嚴(yán)峻的挑戰(zhàn)。對(duì)于許多組織來說，不部和數(shù)據(jù)共。這些關(guān)鍵能力將推動(dòng)整個(gè)供應(yīng)鏈和生態(tài)門之往往缺乏溝通―這為安全和供應(yīng)鏈領(lǐng)導(dǎo)者帶來系統(tǒng)合作伙伴進(jìn)行有效協(xié)，從而大幅提升生產(chǎn)效率了一項(xiàng)重大挑戰(zhàn)。和規(guī)模。圖5風(fēng)險(xiǎn)和供應(yīng)鏈職責(zé)分散在高管團(tuán)隊(duì)中，因此難以建立涵蓋物理和數(shù)字領(lǐng)域的整體視圖。各領(lǐng)域主負(fù)責(zé)人的領(lǐng)導(dǎo)職位CEOCDOCIOCISO物理風(fēng)險(xiǎn)數(shù)字物理供應(yīng)鏈數(shù)字0-10%11-20%21-30%31-40%41-50%51-60%問：請(qǐng)指出負(fù)責(zé)物理風(fēng)險(xiǎn)、數(shù)字風(fēng)險(xiǎn)、物理供應(yīng)鏈、數(shù)字供應(yīng)鏈的最高級(jí)管理人員。10大多數(shù)(84%)受訪組織表示在構(gòu)建安全互聯(lián)生態(tài)系統(tǒng)方進(jìn)行了中等程度到重大程度的于利用先進(jìn)技術(shù)來改供應(yīng)鏈和網(wǎng)絡(luò)6在增強(qiáng)供應(yīng)鏈韌性的安全和運(yùn)營資中，AI15點(diǎn)：生成式AI助力保障生態(tài)系統(tǒng)安全”）。圖6企業(yè)高管正在優(yōu)先采用先進(jìn)技術(shù)來增強(qiáng)運(yùn)營韌性，從而改協(xié)作。最主的最主的網(wǎng)絡(luò)安全資供應(yīng)鏈韌性資54%AI

安全AI運(yùn)營和數(shù)據(jù)集成和自動(dòng)化53%威脅檢測(cè)和事件響應(yīng)52%48%托管服務(wù)提供商監(jiān)管合規(guī)性50%43%架構(gòu)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理48%

38%協(xié)與治理安全分析/遙測(cè)44%38%變型軟件解決方案30%供應(yīng)采購實(shí)踐網(wǎng)絡(luò)人才42%37%28%合作伙伴整合和生態(tài)系統(tǒng)級(jí)別安全10%24%業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)問：貴組織在增強(qiáng)供應(yīng)鏈韌性方最優(yōu)先的網(wǎng)絡(luò)資什么？問：貴組織在增強(qiáng)供應(yīng)鏈韌性方最優(yōu)先的資什么？11超過一半(54%)的受訪組織表示正在運(yùn)營中利用AI和但組織需更多地關(guān)注更新其運(yùn)營治理和支持實(shí)踐，而數(shù)據(jù)集成，從而提高整個(gè)供應(yīng)鏈的效率、可預(yù)測(cè)性和響不僅僅應(yīng)能力。受訪高管還表示正在專注于構(gòu)建更加現(xiàn)代化、何無縫擴(kuò)展能力，以覆蓋整個(gè)供應(yīng)體系并延伸到生態(tài)可擴(kuò)展且可靠的資包括托管服系統(tǒng)環(huán)境中。運(yùn)用責(zé)任共擔(dān)模式來管理供應(yīng)鏈安全有13務(wù)提供(48%)和架構(gòu)(43%)。云平臺(tái)構(gòu)建于標(biāo)準(zhǔn)助于每個(gè)供應(yīng)鏈參與者為維護(hù)整體安全態(tài)勢(shì)的完整性和設(shè)計(jì)模式和通用治理框架之上，因此有助于增強(qiáng)察、協(xié)作和自動(dòng)化。）。這樣一來，供應(yīng)體系就成為了更強(qiáng)系統(tǒng)（見圖7韌性的來，而不更大的風(fēng)險(xiǎn)。在網(wǎng)絡(luò)安全資方，安全AI和自動(dòng)化(53%)位居第一，其次威脅檢測(cè)和事件響應(yīng)(52%)。借助AI企業(yè)領(lǐng)導(dǎo)者正朝這個(gè)方向砥礪前行：58%賦能的受訪高的自動(dòng)化，組織可以建立更具預(yù)性和主動(dòng)性的安全態(tài)管認(rèn)為價(jià)鏈、供應(yīng)鏈和生態(tài)系統(tǒng)相互關(guān)聯(lián)的。受訪12而AI者還認(rèn)識(shí)到讓合作伙伴參與風(fēng)險(xiǎn)管理的重性：70%勢(shì)，時(shí)改賦能的運(yùn)營則有助于推動(dòng)建設(shè)安全運(yùn)營中心(SOC)，并借的受訪高管表示，通過將合作伙伴整合到自身的風(fēng)險(xiǎn)和助合作伙伴逐漸實(shí)現(xiàn)虛擬安全運(yùn)營中心。治理模型中，其組織增強(qiáng)了供應(yīng)鏈韌性?，F(xiàn)代運(yùn)營模式的真正考驗(yàn)在于如何無縫擴(kuò)展能力，以覆整個(gè)供應(yīng)商體系并延伸到生態(tài)系統(tǒng)環(huán)境中。12圖7價(jià)鏈、供應(yīng)鏈和生態(tài)系統(tǒng)正在并行發(fā)展。價(jià)鏈+供應(yīng)鏈+生態(tài)系統(tǒng)規(guī)模x1x10x100重點(diǎn)價(jià)創(chuàng)造和效率協(xié)和履行擴(kuò)展能力和編排輸入/輸出已知且通常不變高容量、專用、定制動(dòng)態(tài)；可按需擴(kuò)展直接線性；通過有序組織來最大單向；供應(yīng)向客戶提供產(chǎn)或多向；標(biāo)準(zhǔn)化模式和治理意化增活動(dòng)服務(wù)味中方可以增加價(jià)值設(shè)計(jì)獨(dú)立但模塊化單邊；一方對(duì)一方，通常通過中多邊；針對(duì)復(fù)雜的供應(yīng)關(guān)系進(jìn)行優(yōu)化方向速度、消除擦和浪費(fèi)容量和韌性通過標(biāo)準(zhǔn)和治理來改進(jìn)效率和態(tài)勢(shì)管理風(fēng)險(xiǎn)遏制和緩解風(fēng)險(xiǎn)以止破壞承擔(dān)不確定性，風(fēng)險(xiǎn)共擔(dān)；盡可能分散不確價(jià)但買方承擔(dān)影響定性和影響13行動(dòng)：加強(qiáng)組織內(nèi)部以及與供應(yīng)共承擔(dān)供應(yīng)鏈安全責(zé)任的模式。1.召集高管團(tuán)隊(duì)共明確期望，并分配資來支持改進(jìn)跨職能協(xié)作，從而增強(qiáng)供應(yīng)鏈韌性。定義標(biāo)準(zhǔn)并設(shè)定協(xié)、溝通和治理的期望。2.組建團(tuán)隊(duì)并指定流程負(fù)責(zé)人來調(diào)查在組織內(nèi)和重供應(yīng)中如何處理安全責(zé)任。定義標(biāo)準(zhǔn)、政策和相關(guān)控制措施來維持強(qiáng)大的安全態(tài)勢(shì)，詳細(xì)明確利益相關(guān)者、流程負(fù)責(zé)人、供應(yīng)和合作伙伴的期望。確定應(yīng)如何管理這些職責(zé)，以及如何將疏忽轉(zhuǎn)變?yōu)楦倪M(jìn)的來。3.創(chuàng)建所有接供應(yīng)的供應(yīng)為其接供應(yīng)（您的第n方供應(yīng)）創(chuàng)建類似的依賴關(guān)系圖。4.當(dāng)部署新的供應(yīng)平臺(tái)時(shí)，利用標(biāo)和采購流程來改進(jìn)整個(gè)供應(yīng)體系的可見性、可追溯性和網(wǎng)絡(luò)治理實(shí)踐。通過應(yīng)用責(zé)任共擔(dān)模式來管理供應(yīng)鏈安全，供應(yīng)就成為了更強(qiáng)韌性的來，而不更大的風(fēng)險(xiǎn)。14觀點(diǎn)根據(jù)IBM業(yè)價(jià)研究院近期的一項(xiàng)調(diào)研，96%的受共推動(dòng)網(wǎng)絡(luò)安全和供應(yīng)鏈運(yùn)營轉(zhuǎn)型訪美國高管表示，采用生成式AI可能會(huì)在未來三年內(nèi)14高管們對(duì)生成式AI導(dǎo)致其組織出現(xiàn)安全漏。而這次最新調(diào)研的受訪者則表現(xiàn)得更樂觀。只有39%的受訪者預(yù)計(jì)生成式AI會(huì)對(duì)其運(yùn)營安全性和韌性構(gòu)成重大風(fēng)險(xiǎn)，而52%的受訪生成式AI62%將變網(wǎng)絡(luò)風(fēng)險(xiǎn)和網(wǎng)絡(luò)者認(rèn)為生成式AI安全能力這項(xiàng)技術(shù)為網(wǎng)絡(luò)犯罪分子提供了新的工具，時(shí)也能為1555%

生成式AI將變供應(yīng)鏈運(yùn)營作為整體安全戰(zhàn)略的一部分，生成式AI可以在增強(qiáng)供應(yīng)鏈韌性方發(fā)揮重作用，包括加快供應(yīng)評(píng)估和管理實(shí)踐、支持協(xié)事件響應(yīng)的模擬和規(guī)劃、自動(dòng)執(zhí)行日的好處超過風(fēng)險(xiǎn)52%生成式AI常任務(wù)以減輕人為錯(cuò)誤的影響，以及為供應(yīng)鏈系統(tǒng)提供實(shí)時(shí)監(jiān)控，以便及時(shí)發(fā)出安全問題警報(bào)。隨能力日趨45%生成式AI將變我們的生態(tài)合作成熟，生成式AI將變得更加以行動(dòng)為導(dǎo)向―編寫和修方法正代碼、檢查代碼庫，以及幫助定義和監(jiān)控安全策略與控制措施。一項(xiàng)研究表明，生成式AI將編寫代碼的完39%對(duì)運(yùn)營安全性和韌性構(gòu)成時(shí)縮短了35%至45%生成式AI。成重大風(fēng)險(xiǎn)超過一半的受訪者(55%)到了生成式AI在變供應(yīng)鏈運(yùn)營方的潛力。在當(dāng)前或未來12個(gè)月內(nèi)，企業(yè)投資部署生成式AI的主供應(yīng)鏈用例包括提高運(yùn)營效率，問：考慮貴公司未來三年的戰(zhàn)略，您在多大程度上意以下關(guān)于生成式AI的陳述？例如資分配、風(fēng)險(xiǎn)管理（包括網(wǎng)絡(luò)安全），以及增強(qiáng)可視性以改進(jìn)預(yù)測(cè)和決策能力。更長期的目標(biāo)則包括合規(guī)管理和物流，例如機(jī)器人、無人機(jī)和自動(dòng)駕駛汽車。15挑戰(zhàn)三：最薄弱的環(huán)節(jié)圖8從長遠(yuǎn)來，在選擇供應(yīng)時(shí)優(yōu)先考慮成本而許多供應(yīng)鏈合作伙伴不風(fēng)險(xiǎn)和韌性因素可能會(huì)產(chǎn)生更高的成本。的安全實(shí)踐較差65%64%成本如果供應(yīng)鏈的安全性取決于其最薄弱的環(huán)節(jié)，那么不遵守組織安全準(zhǔn)則的合作伙伴就會(huì)使整個(gè)供應(yīng)鏈變得脆弱。然而，對(duì)于受訪高管來說，安全實(shí)踐并不選擇供60%應(yīng)的主考慮因素。事實(shí)上，成本才其首決定因素，其重性比風(fēng)險(xiǎn)露、信息安全、監(jiān)管合規(guī)和韌性等因素高出23%（見圖8）。不過，采購成本上的任何財(cái)務(wù)節(jié)省可能短暫的，因?yàn)?5%從長遠(yuǎn)來，忽視供應(yīng)的安全實(shí)踐可能會(huì)導(dǎo)致更高的延遲成本。隨時(shí)的推移，較低的風(fēng)險(xiǎn)和韌性可視性可能會(huì)推高運(yùn)營支持成本，而在風(fēng)險(xiǎn)和韌性方的資52%績效則有助于降低這些成本（請(qǐng)參閱第20頁的“觀點(diǎn)：累積風(fēng)險(xiǎn)如何將組織置于險(xiǎn)境”）。50%49%靈活性45%風(fēng)險(xiǎn)露45%45%44%監(jiān)管合規(guī)42%服務(wù)質(zhì)量40%信息安全40%40%互操作性35%35%韌性問：選擇供應(yīng)時(shí)最重的因素什么？16即使在評(píng)估供應(yīng)風(fēng)險(xiǎn)時(shí)，只有約一半的受訪者會(huì)將數(shù)據(jù)和信息安全納入采購流程。這遠(yuǎn)低于牌聲譽(yù)和財(cái)務(wù)報(bào)告這兩項(xiàng)主因素，而這兩者都無法提供真實(shí)可見的風(fēng)險(xiǎn)管理實(shí)踐（見圖9）。圖9在評(píng)估供應(yīng)風(fēng)險(xiǎn)時(shí)，只有一半的受訪者會(huì)考慮數(shù)據(jù)和信息安全。定量定性13%81%聲譽(yù)41%71%監(jiān)管合規(guī)27%58%公司治理44%51%法律實(shí)踐13%51%勞動(dòng)力實(shí)踐22%51%倫理和誠信實(shí)踐41%50%遵守行業(yè)標(biāo)準(zhǔn)53%49%數(shù)據(jù)和信息安全46%46%技術(shù)標(biāo)準(zhǔn)54%43%運(yùn)營14%42%健康和安全因素38%35%外國所有權(quán)和影響60%35%關(guān)鍵供應(yīng)商77%19%財(cái)務(wù)報(bào)告實(shí)踐50%0%50%問：貴組織如何評(píng)估潛在供應(yīng)的風(fēng)險(xiǎn)（定量）？問：貴組織如何評(píng)估潛在供應(yīng)的風(fēng)險(xiǎn)（定性）？17最令人擔(dān)憂的，受訪組織表示其供應(yīng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理推薦實(shí)踐的采用率較低（見圖10接和接供應(yīng)進(jìn)行風(fēng)險(xiǎn)態(tài)勢(shì)評(píng)估。盡管這一項(xiàng)最常見的實(shí)踐，它不過改組織整體風(fēng)險(xiǎn)態(tài)勢(shì)的最低標(biāo)準(zhǔn)。在供應(yīng)引導(dǎo)方，只有不到一半的受訪者使用了所有其他評(píng)估實(shí)踐。圖10理解供應(yīng)風(fēng)險(xiǎn)暴露：不成熟的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估實(shí)踐會(huì)導(dǎo)致更大的下游漏洞。接58%55%量化風(fēng)險(xiǎn)露39%47%執(zhí)行定期盡職調(diào)查32%43%評(píng)估供應(yīng)的關(guān)鍵依賴關(guān)系35%41%建立共的補(bǔ)救/響應(yīng)程序26%40%盤點(diǎn)關(guān)鍵資產(chǎn)/服務(wù)46%39%評(píng)估運(yùn)營治理41%35%量化風(fēng)險(xiǎn)露28%33%評(píng)估軟件來源25%32%評(píng)估采購實(shí)踐和控制27%30%評(píng)估供應(yīng)潛在攻擊面27%30%開展事件響應(yīng)演練100%0%100%問：在您的接供應(yīng)中，日常運(yùn)營中采用了哪些領(lǐng)先實(shí)踐？問：在您的接供應(yīng)中，日常運(yùn)營中采用了哪些領(lǐng)先實(shí)踐？18我們調(diào)研的受訪者在其軟件供應(yīng)鏈管理實(shí)踐方也反映威脅情報(bào)團(tuán)隊(duì)指出，這導(dǎo)致各種層出不窮IBM出類似的不成熟水平。盡管采用了一些領(lǐng)先實(shí)踐，但受的攻擊方法都將軟件供應(yīng)鏈作為目標(biāo)。最近的一項(xiàng)調(diào)研訪者僅處于其采用的早期階段（見圖11表明，使用有效憑證的攻擊量比大幅增長(+71%)）。，這些憑證通過暗網(wǎng)銷我們以訪問控制和合規(guī)措施為例。只有22%的受訪者17攻擊。如果沒有強(qiáng)大的風(fēng)險(xiǎn)文化來主動(dòng)識(shí)別和管理供表示其組織部署了訪問控制和最小權(quán)限則來保護(hù)軟件

應(yīng)和軟件漏，供應(yīng)鏈韌性仍將無從談起。供應(yīng)鏈。圖11受訪者仍處于采用軟件供應(yīng)鏈安全最佳實(shí)踐的早期階段。安全測(cè)試和驗(yàn)證執(zhí)行臨時(shí)代碼完整性檢查和審查32%在預(yù)定義檢查點(diǎn)進(jìn)行代碼審查30%驗(yàn)證生成式AI輸入和輸出的完整性30%測(cè)試各個(gè)軟件組件的完整性27%使用滲透測(cè)試查找漏15%基礎(chǔ)設(shè)施和軟件管理標(biāo)準(zhǔn)化軟件治理37%理解開組件的依賴關(guān)系32%創(chuàng)建軟件組件單29%單(SBOM)27%實(shí)施靜態(tài)或不可變的礎(chǔ)設(shè)施實(shí)踐20%訪問控制和合規(guī)性實(shí)施持續(xù)合規(guī)實(shí)踐29%記錄政策或控制中的疏漏28%為第三方合作伙伴實(shí)施軟件質(zhì)量控制24%部署訪問控制和最小權(quán)限則22%運(yùn)營實(shí)踐與則實(shí)施持續(xù)監(jiān)控功能32%采用DevSecOps29%將運(yùn)營韌性實(shí)踐融入運(yùn)營24%問：您在組織中采取了哪些措施來保障軟件供應(yīng)鏈安全？19觀點(diǎn)累積風(fēng)險(xiǎn)如何將組織韌性不能止于保持警惕。運(yùn)營中斷通常由各種復(fù)雜、連續(xù)的風(fēng)險(xiǎn)所導(dǎo)致的，這些風(fēng)險(xiǎn)難以通過標(biāo)準(zhǔn)風(fēng)險(xiǎn)模型進(jìn)行預(yù)測(cè)。過去五年的經(jīng)驗(yàn)明確表明，風(fēng)險(xiǎn)逐漸出現(xiàn)的，然后由于無法預(yù)見的多項(xiàng)因素而突然發(fā)，從而引發(fā)連鎖反應(yīng)，對(duì)整個(gè)供應(yīng)鏈上下游造成嚴(yán)18重破壞。比如，想象一下勒索軟件攻擊加上人才短缺，再加上災(zāi)難性的天氣事件，然后一條航運(yùn)路線堵，需繞行很長一段距離。隨對(duì)數(shù)字服務(wù)的依賴日益增加，風(fēng)險(xiǎn)迅速擴(kuò)展到領(lǐng)域以外，從而擾亂核心運(yùn)營和創(chuàng)收（見圖）。大約三分之一的受訪者表示曾受到多項(xiàng)風(fēng)險(xiǎn)因素的顯著影響，這意味采取非常措施來應(yīng)對(duì)相應(yīng)風(fēng)險(xiǎn)。還有一小部分但為數(shù)不少的受訪者表示遭遇了更為嚴(yán)重和持久的中斷。隨風(fēng)險(xiǎn)因素的增加，累積風(fēng)險(xiǎn)成為一個(gè)日益嚴(yán)重的問題。2021年至2023年期影響運(yùn)營的因素技術(shù)型人才的可用性49%貿(mào)易環(huán)境的變化45%疫情/健康影響42%獲取資本40%第三方故障40%40%網(wǎng)絡(luò)安全事件39%能中斷35%氣候相關(guān)事件28%政治不確定性25%嚴(yán)重中斷對(duì)持續(xù)業(yè)務(wù)運(yùn)營造成了持久而重大的影響顯著：需問：2021年至2023年期，以下因素對(duì)運(yùn)營產(chǎn)生了什么樣的影響？表示產(chǎn)生“顯著”或“嚴(yán)重”影響的受訪者比例。20未來十年，隨新型貿(mào)易關(guān)系的出現(xiàn)，供應(yīng)鏈運(yùn)營可能會(huì)發(fā)生巨變。即使組織從復(fù)雜的供應(yīng)鏈轉(zhuǎn)向安全、具有韌性的生態(tài)系統(tǒng)，也會(huì)出現(xiàn)各種新的不確定性因素，也需更加19關(guān)注各種新的風(fēng)險(xiǎn)。尤其令人擔(dān)憂的，我們懷疑運(yùn)營受到顯著影響的組織中有較高比例可能已經(jīng)達(dá)到管理多重風(fēng)險(xiǎn)的能力極限。只外加一點(diǎn)沖擊，就可能令這些組織落入“嚴(yán)重運(yùn)營影響”的類別，從而導(dǎo)致收入受到巨大影響。根據(jù)我們的分析，風(fēng)險(xiǎn)因素的增加可能會(huì)意外地迅速演變成一場(chǎng)毀滅性的大規(guī)模中斷，在最嚴(yán)重的情況下會(huì)及超過75％的收入。于受訪者對(duì)上述每個(gè)風(fēng)險(xiǎn)因素對(duì)收入影響的估計(jì)，我們的分析表明，那些受到多重嚴(yán)重風(fēng)險(xiǎn)困擾的組織必須收入風(fēng)險(xiǎn)：小型組織每年有1.605億美元的收入臨風(fēng)險(xiǎn)，大型組織每年有超過220億美元的收入臨風(fēng)險(xiǎn)。對(duì)于一些組織來說，當(dāng)前的形勢(shì)已經(jīng)再糟糕不過了―高風(fēng)險(xiǎn)環(huán)境疊加經(jīng)濟(jì)不確定性帶來了極其嚴(yán)峻的挑戰(zhàn)。受訪者表示，過去三年（2021年至2023年期），其組織的平均收入增長率下降了55%，利潤下降了49%。多重嚴(yán)重風(fēng)險(xiǎn)危及大量收入因嚴(yán)重影響因素而臨的預(yù)計(jì)收入風(fēng)險(xiǎn)組織規(guī)模低平均高低平均高+1+1+1+4+4+4風(fēng)險(xiǎn)因素風(fēng)險(xiǎn)因素風(fēng)險(xiǎn)因素風(fēng)險(xiǎn)因素風(fēng)險(xiǎn)因素風(fēng)險(xiǎn)因素3,700萬美元7,100萬美元1.256億美元1.605億美元2.746億美元4.133億美元平均年收入1.2億至8.38億美元1.517億美元2.91億美元5.158億美元4.729億美元8.093億美元12.2億美元平均年收入8.38億至52億美元6.486億美元12.4億美元22億美元29.9億美元51.1億美元76.9億美元平均年收入52億至161億美元23.4億美元44.9億美元79.6億美元85.9億美元147億美元221.2億美元平均年收入161億至2,025億美元數(shù)字為四舍五入于受訪者對(duì)特定事件影響運(yùn)營的一系列問題的回答：對(duì)于被歸類為“嚴(yán)重”的沖擊，貴組織有多少百分比的收入臨風(fēng)險(xiǎn)？21接和接供應(yīng)的安全文化，增強(qiáng)整個(gè)供應(yīng)體系的韌性。未來，組織需將安全意識(shí)作為文化石，在整個(gè)運(yùn)營環(huán)境中加強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理、安全期和支持生態(tài)系統(tǒng)。為了遏制風(fēng)險(xiǎn)和漏，組織應(yīng)當(dāng)在內(nèi)部和供應(yīng)網(wǎng)絡(luò)中采用零信任則。這正“安全設(shè)計(jì)”方法的實(shí)際應(yīng)用。由于各種新的威脅向量可能會(huì)在運(yùn)營生命周期的不階段出現(xiàn)，因此組織應(yīng)當(dāng)重采用端到端的網(wǎng)絡(luò)風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全方法，涵蓋從初始設(shè)計(jì)、材料采購、供應(yīng)選擇、分銷到最終用戶運(yùn)營支持的整個(gè)周期。我們的分析表明，這種轉(zhuǎn)變始于加強(qiáng)組織自身對(duì)軟件供20應(yīng)鏈管理最佳實(shí)踐的采用，包括遵守最新法規(guī)，例如汽車行業(yè)采用的法規(guī)。那些更有效采用這些實(shí)踐的受訪者正從強(qiáng)大的軟件安全實(shí)踐中獲益。這些組織在其供應(yīng)12）。其次，出于自身利益考慮，企業(yè)高管必須通過適當(dāng)?shù)馁Y，支持業(yè)務(wù)合作伙增強(qiáng)風(fēng)險(xiǎn)管理和應(yīng)對(duì)能力。更廣泛地采用供應(yīng)評(píng)估、選擇和采購流程時(shí)，應(yīng)納入對(duì)安全漏控制以及風(fēng)險(xiǎn)相關(guān)績效指標(biāo)的評(píng)估，最好側(cè)重于嚴(yán)重性和潛在風(fēng)險(xiǎn)收入的指標(biāo)。這可能還21為了遏制風(fēng)險(xiǎn)和漏，組織應(yīng)當(dāng)在內(nèi)部和供應(yīng)網(wǎng)絡(luò)中采用零信任則。22圖12對(duì)于軟件安全實(shí)踐更好的組織，其運(yùn)營中斷減少了27%。運(yùn)營中斷指數(shù)1716.516更好的安全實(shí)踐可減少運(yùn)營中斷減少27%151413.412.71312.11211<=4.005.006.007.00+IBM分析。運(yùn)營中斷指數(shù)（y軸）根據(jù)一系列常見風(fēng)險(xiǎn)因素來衡量組織中斷傾向的綜合指標(biāo)。x軸代表軟件供應(yīng)鏈安全實(shí)踐采用情況的綜合得分。分?jǐn)?shù)越高則表示軟件供應(yīng)鏈領(lǐng)先實(shí)踐的采用程度越高。這對(duì)應(yīng)于更低的運(yùn)營中斷發(fā)生率。23IBM研究院的分析還表明，采購模式可能在運(yùn)營韌性中發(fā)揮重作用。我們發(fā)現(xiàn)，對(duì)于中度依賴供應(yīng)的組織（即戰(zhàn)略供應(yīng)關(guān)系占收入的50%-75%），其運(yùn)營中斷發(fā)生率降低了17%（見圖13）。圖13。運(yùn)營中斷指數(shù)2524.22423.7正確的采購模式可以減少運(yùn)營中斷。17%差值232223.52120.02019高度獨(dú)立于供應(yīng)中度獨(dú)立于供應(yīng)中度依賴于供應(yīng)高度依賴于供應(yīng)商組織依賴戰(zhàn)略供應(yīng)獲組織依賴戰(zhàn)略供應(yīng)商得的收入少于25%25%至至獲得的收入超過75%供應(yīng)依賴程度IBM對(duì)“您如何描述貴組織的供應(yīng)鏈采購模式？”這一問題的分析。運(yùn)營中斷指數(shù)（y軸）根據(jù)一系列常見風(fēng)險(xiǎn)因素來衡量組織中斷傾向的綜合指標(biāo)。戰(zhàn)略供應(yīng)的定義“提供對(duì)于您的業(yè)務(wù)成功至關(guān)重的24我們懷疑這因?yàn)橹卸纫蕾嚬?yīng)的采購模式一種富行動(dòng)：將營造強(qiáng)大的安全文化列為有吸引力的折衷方案。組織可以通過密切的合作伙伴關(guān)第一優(yōu)先務(wù)。系獲得規(guī)模經(jīng)濟(jì)、標(biāo)準(zhǔn)化和治理，時(shí)保留一定的靈活鎖定或與極少供應(yīng)相關(guān)的風(fēng)險(xiǎn)集中。1.安排一場(chǎng)研討會(huì)，為員工和合作伙伴啟動(dòng)一這種中度供應(yīng)項(xiàng)安全意識(shí)、行為和文化倡議。構(gòu)成了一個(gè)安全、互聯(lián)的生態(tài)系統(tǒng)，也就不足為奇了。2.審查并更新現(xiàn)有政策，在其中納入軟件供應(yīng)鏈最佳對(duì)于許多組織來說，這或許增強(qiáng)供應(yīng)鏈韌性的最便捷實(shí)踐。制定并傳達(dá)新的采購標(biāo)準(zhǔn)，并為各種領(lǐng)先

途徑。實(shí)踐實(shí)施安全控制措施，例如供應(yīng)安全評(píng)估、SBOM治理、軟件測(cè)試和代碼質(zhì)量審查等。3.查美國國家標(biāo)準(zhǔn)與技術(shù)研究院(USNIST)關(guān)于網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險(xiǎn)管理的框架，了解您的組織可以22采用哪些領(lǐng)先實(shí)踐。4.優(yōu)先選擇具有安全意識(shí)的供應(yīng)。首先，選擇三家關(guān)鍵供應(yīng)并評(píng)估其核心安全實(shí)踐（包括否采用零信任架構(gòu)）以及相關(guān)的績效和服務(wù)水平。評(píng)估合否包含遵守安全標(biāo)準(zhǔn)或績效閾方的內(nèi)容。根據(jù)定期安全審計(jì)來持續(xù)監(jiān)控合規(guī)情況。中度依賴供應(yīng)的組織正在有效分擔(dān)責(zé)任?他們安全、互聯(lián)生態(tài)系統(tǒng)中的重合作伙伴。25作者Karimi移動(dòng)合作伙伴關(guān)系以及制造與移動(dòng)安全I(xiàn)BM價(jià)研究院Microsoftkaivankarimi@/in/kaivankarimi/IBMIBM研究院(IBMIBV)成立二十年來，憑借在業(yè)、技術(shù)和社會(huì)交叉領(lǐng)域的獨(dú)特地位，每年都會(huì)針對(duì)成千上萬高管、消費(fèi)者和專家展開調(diào)研、訪談Campos和互動(dòng)，將他們的觀點(diǎn)綜合成可信賴的、振奮人心和切實(shí)可行的察。全球網(wǎng)絡(luò)戰(zhàn)略與風(fēng)險(xiǎn)執(zhí)行合伙人網(wǎng)絡(luò)安全服務(wù)，IBMConsulting需最新研究成果，請(qǐng)?jiān)?ibv上注冊(cè)camposf@以接收的電子郵件通訊。您可以在上關(guān)/in/fabiolcampos/注，或通過在LinkedIn上聯(lián)系我們。BrettDrummond訪問IBM研究院中國官網(wǎng)，免費(fèi)下載研究報(bào)網(wǎng)絡(luò)安全服務(wù)合伙人IBMConsulting告：Brett.Drummond@/in/brettdrummond/相關(guān)報(bào)告GeraldParham全球安全研究負(fù)責(zé)人兼CIOCEO生成式AI行動(dòng)指南：網(wǎng)絡(luò)安全I(xiàn)BM研究院CEO生成式AI行動(dòng)指南：網(wǎng)絡(luò)安全gparham@IBM業(yè)價(jià)研究院，2023年11月/in/gerryparham/致謝人工智能和自動(dòng)化助力網(wǎng)絡(luò)安全許多人為本研究的設(shè)計(jì)和材料開發(fā)做出了貢獻(xiàn)。本報(bào)告人工智能和自動(dòng)化助力網(wǎng)絡(luò)安全：領(lǐng)導(dǎo)者如何統(tǒng)籌技術(shù)中的內(nèi)容體現(xiàn)了許多才華橫溢的個(gè)人在研究設(shè)計(jì)、數(shù)據(jù)和人才以取得成功分析、編輯和敘述發(fā)展、圖形設(shè)計(jì)、主題專業(yè)知識(shí)和贊IBM業(yè)價(jià)研究院，2022年8月助等方的聰明才智和創(chuàng)造力。作者謹(jǐn)此特別感謝以下個(gè)人做出的杰出貢獻(xiàn)：JoannaWilkins、LilyPatel、KristinBiron、SaraAboulhosn、網(wǎng)絡(luò)經(jīng)濟(jì)時(shí)代的發(fā)展繁榮之道NagiPunyamurthula、RichardHogan、Teresa網(wǎng)絡(luò)經(jīng)濟(jì)時(shí)代的發(fā)展繁榮之道：重新思考業(yè)務(wù)轉(zhuǎn)型的網(wǎng)Suarez、AlliePowell、EvelynAnderson、Charles絡(luò)風(fēng)險(xiǎn)IBM業(yè)價(jià)研究院，2023年2

Chang、LiamCleaver和DimpleAhluwalia月。26調(diào)研和研究方法為了解組織如何資于安全功能以增強(qiáng)運(yùn)營韌性，受訪者的選標(biāo)準(zhǔn)如下：來自“正在很大程度上”實(shí)IBM業(yè)價(jià)2,000施安全供應(yīng)鏈功能的組織，并且對(duì)其組織的供應(yīng)鏈采名負(fù)責(zé)供應(yīng)管理、供應(yīng)采購和生態(tài)系統(tǒng)合作伙伴購和方法“極其熟悉”。關(guān)系的高管開展了一項(xiàng)調(diào)研。調(diào)研采用雙盲方式，受訪者并不知道哪些組織正在開展這項(xiàng)調(diào)研，IBM或?qū)Y(jié)果進(jìn)行分析以確定安全實(shí)踐與積極業(yè)務(wù)成效（例如增強(qiáng)運(yùn)營韌性）之的重關(guān)系。某些情況下，回微軟也不知道各個(gè)受訪者的身份。復(fù)結(jié)果會(huì)與類似項(xiàng)組合成一個(gè)綜合指數(shù)，然后一起進(jìn)調(diào)研對(duì)象包括以下角色的高管（或其等職位）：主要行分析，以理解更復(fù)雜的現(xiàn)象，如組織的運(yùn)營中斷傾負(fù)責(zé)生態(tài)系統(tǒng)戰(zhàn)略的高級(jí)管理人員（CEO、總裁、首席向或軟件供應(yīng)鏈實(shí)踐的綜合影響。戰(zhàn)略官、首席運(yùn)營官、總經(jīng)理）、CISO、CIO、、在估組織依據(jù)首席供應(yīng)鏈官、首席風(fēng)險(xiǎn)官、首席采購官，以及信息重”的各個(gè)風(fēng)險(xiǎn)因素的相對(duì)財(cái)務(wù)影響。組織因多個(gè)風(fēng)安全職能部門、信息技術(shù)職能部門和供應(yīng)鏈職能部門險(xiǎn)因素而臨的財(cái)務(wù)風(fēng)險(xiǎn)露通過以下計(jì)方法得的高級(jí)管理人員（副總裁或以上）。出的：將各個(gè)風(fēng)險(xiǎn)因素相加，然后根據(jù)組織的總收入受訪者來自31個(gè)國家的16估財(cái)務(wù)影響。“平均”估值于屬于指定收入四汽車業(yè)（OEM和供應(yīng)）、化工和石油業(yè)（包括石油分位數(shù)分布范的組織的平均?！暗汀惫乐稻吆吞烊粴猓㈦娮赢a(chǎn)、工業(yè)產(chǎn)、消費(fèi)、能和有最小財(cái)務(wù)影響的各個(gè)風(fēng)險(xiǎn)因素的組合?！案摺惫浪阒稻哂凶畲筘?cái)務(wù)影響的各個(gè)風(fēng)險(xiǎn)因素的組合。保險(xiǎn)業(yè)、生命科學(xué)/制藥、電信、零業(yè)、交通運(yùn)輸業(yè)和旅游業(yè)。27備注和參考資料1Stephanie.“Cybercrime-as-a-Service:11“VehicleManufacturersNeedtoCommoditizationThreatMimecast.AprilInsideTheirSupplier’sFebruary18,2022.27,2022.as-a-service-commoditization-fuels-threat-surge/security-blog/vehicle-manufacturers-need-to-know-whats-inside-their-suppliers-code/2“WideningDisparitiesandGrowingThreatsCloudGlobalCybersecurityOutlookfor12LisaandGeraldParham.AIandautomationEconomicnewsJanuary11,forcybersecurity:leaderssucceeduniting2024.technologyandtalent.IBMInstituteforBusinesswef24-global-cybersecurity-outlook-2024/May2022.3Mills,G.,ElisabethReynolds,and13Rajasekharan,Mahesh.“NeedAStrategyDrivingHerculano.“SmallBusinessesPlayaBiginSupplyChainThinkChainHarvardBusiness.DecemberAugust29,2023.6,2022.forbestechcouncil/2023/08/29/need-a-play-a-big-role-in-supply-chain-resiliencestrategy-for-driving-supply-chain-convergence-think-ecosystem-first/?sh=6f1aa40754074CloseEncounterstheThird(andPartyKind.SecurityScorecardandCyentiaFebruary14guidegenerativeAI:IBM2023.InstituteforBusinessOctober2023.uploads/2024/01/Research-Close-Encounters-Of-ibm.co/ceo-generative-ai-cybersecurityThe-Third-And-Fourth-Party-Kind.pdf15Warren,“MicrosoftandOpenAIsayhackers5aDataBreach2023.IBMSecurityareusingChatGPTtoTheandtheJuly2023.February14,2024./reports/data-breachcom/2024/2/14/24072706/microsoft-openai-cyberattack-tools-ai-chatgpt6“Whatisasupplychain?”AccessedMay6,2024.16codingboostfrom21,2023.supply-chain;“Whatissoftwaresupplychainsecurity?”Hat.AccessedMay6,2024.sustainable-inclusive-growth/chart-of-the-day/com/en/topics/security/what-is-software-supplya-coding--chain-securityboost-from-ai7“WideningDisparitiesandGrowingThreatsCloud17ThreatIntelligenceIndex2024.GlobalCybersecurityOutlookforIBMFebruary2024.EconomicnewsJanuary11,/reports/threat-intelligence2024.18RiskN:TheExponentialRisk.Moody’s.2023.wef24-global-cybersecurity-outlook-2024/8“ShiftingtheBalanceCybersecurityRisk:Principlesinsights/exponential-risk.htmlandApproachesforSecurity-by-Designand19Ibid.CybersecurityandInfrastructureSecurityApril13,2023.default/files/2023-04/principles_approaches_for_security-by-design-default_508_0.pdf20Karimi,“Thesecurityculturaltransformation