IBV-全維度供應(yīng)鏈數(shù)字化-軟件定義未來的網(wǎng)絡(luò)安全-2024.08-32正式版

IBM商研究院

|研究洞業(yè)價值察全維度供應(yīng)鏈數(shù)字化軟件定義未來的網(wǎng)絡(luò)安全關(guān)于微軟與

IBM的合作伙伴關(guān)系微軟和

IBM建立了戰(zhàn)略合作伙伴關(guān)系，旨在幫助組織實現(xiàn)全面解決方案，讓組織滿懷信心地在微軟云上加速遷移、現(xiàn)代化和業(yè)務(wù)轉(zhuǎn)型。的企業(yè)級威脅管理。我們提供相互協(xié)同的安全I(xiàn)BM提供全面安全資源的戰(zhàn)略與風(fēng)險咨詢、保護(hù)和實現(xiàn)數(shù)字信任的解決方案、威脅管理功能的實施和運(yùn)營，以及利用現(xiàn)有資推動安全轉(zhuǎn)型的開放式多云解決方案。如需了解更多的云安全產(chǎn)品組合，包括用于協(xié)同和優(yōu)化源信息，請訪問：/msftsecurityIBM如何提供幫助IBMSecurity?是合

AI的技術(shù)和服務(wù)，滿足不斷發(fā)展的業(yè)務(wù)需求。我們值得信賴的合作伙伴，可為您提供融的現(xiàn)代化安全戰(zhàn)略方法讓您能夠充分利用數(shù)字創(chuàng)新，并在充滿不確定性和網(wǎng)絡(luò)威脅的環(huán)境中蓬勃發(fā)展。如需了解更多信息，請訪問：/security摘要安全的數(shù)字

供應(yīng)鏈對于保障物理供應(yīng)網(wǎng)絡(luò)風(fēng)險和供應(yīng)鏈風(fēng)險日趨融合。鏈安全至關(guān)重要。物理操作日益依賴于數(shù)字控制。在選擇供應(yīng)商時，高管往往更注重

成本，而忽視高成本的風(fēng)險因素。直接

和間接供應(yīng)商通常未將常規(guī)的網(wǎng)絡(luò)風(fēng)險管理實施到位。AI可以更好地整合網(wǎng)絡(luò)和供應(yīng)鏈運(yùn)營，從而增強(qiáng)運(yùn)營韌性。組織可以利用先進(jìn)技術(shù)來改善協(xié)作并降低供應(yīng)商風(fēng)險。1駕馭新風(fēng)險時代過去，供應(yīng)鏈主要的核心作用日益增強(qiáng)，不僅大幅提升了效率，也引入了新的、經(jīng)常被低估的風(fēng)險。盡管企業(yè)紛紛開始著力增強(qiáng)供應(yīng)鏈韌性，但仍有許多企業(yè)的供應(yīng)鏈網(wǎng)絡(luò)暴露在網(wǎng)絡(luò)風(fēng)險中。是指物理供應(yīng)鏈。而如今，隨著數(shù)字技術(shù)在供應(yīng)鏈中隨著暗網(wǎng)網(wǎng)絡(luò)犯罪市場日趨成熟，網(wǎng)絡(luò)攻擊者在蓬勃發(fā)展的“網(wǎng)絡(luò)犯罪即服務(wù)”生態(tài)系1統(tǒng)中共享資源，這使得惡意人員更容易針對供應(yīng)鏈中的薄弱環(huán)節(jié)發(fā)起攻擊。

他們通常會2針對資源較少、漏洞較多的細(xì)分供應(yīng)商進(jìn)行攻擊。

換句話說，大型供應(yīng)鏈網(wǎng)絡(luò)中的大多3數(shù)公司都可能成為攻擊目標(biāo)。數(shù)以百計甚至數(shù)以千計的第三方直接或間接互聯(lián)，提供了通向關(guān)鍵系統(tǒng)的無數(shù)路徑。一項4研究表明，在過去兩年中，98%的受訪組織至少有一家供應(yīng)商遭遇過數(shù)據(jù)泄露。

另一項5研究表明，來自業(yè)務(wù)合作伙伴的數(shù)據(jù)泄露成本要比其他類型的數(shù)據(jù)泄露高出近12%。為了深入理解網(wǎng)絡(luò)安全因素如何影響價值研究院

(IBMIBV)與微軟合作，針對全球各行業(yè)的

2,000名安全和運(yùn)營主管開展了一項調(diào)研（請參閱第

26頁的“研究和分析方法”）。調(diào)研結(jié)果表明，高管對供應(yīng)商的認(rèn)識令人擔(dān)憂。盡管

74%的受訪者表示供應(yīng)鏈韌性對于其組織的成功至關(guān)重，但只有

40%的受訪者認(rèn)為生態(tài)系統(tǒng)正在擴(kuò)大網(wǎng)絡(luò)攻擊面鏈、供應(yīng)鏈和生態(tài)系統(tǒng)的發(fā)展，IBM商業(yè)價值風(fēng)險和網(wǎng)絡(luò)漏洞要。而且，只有不到三分之一的受訪組織正在通過優(yōu)先的投資計劃來建立安全、互聯(lián)的供應(yīng)鏈運(yùn)營生態(tài)系統(tǒng)。2一部分組織認(rèn)為網(wǎng)絡(luò)風(fēng)險與供應(yīng)鏈風(fēng)險的管理是相互依存的，這部分觀點組織遭遇的供應(yīng)鏈中斷明顯減少。首要問題：6什么是“供應(yīng)鏈”？根據(jù)

IBM商、活動和技術(shù)

/IT系統(tǒng)組成的網(wǎng)絡(luò)。供應(yīng)鏈涵蓋業(yè)價值研究院的調(diào)研，一部分組織認(rèn)為網(wǎng)

供應(yīng)鏈?zhǔn)侵府a(chǎn)品開發(fā)和銷售流程中的相關(guān)個人、組織、絡(luò)風(fēng)險與供應(yīng)鏈風(fēng)險的管理是相互依存的，而這部分組織遭遇的供應(yīng)鏈中斷明顯較少。然而，由于分散的決策和薄弱的網(wǎng)絡(luò)安全實踐加劇了負(fù)面因素，許多組織都難以洞悉潛在威脅及其對運(yùn)營的影響。軟件供應(yīng)鏈則涵蓋

軟件開發(fā)生命周

期中接觸代碼的所有要素和所有人員，包括組件相關(guān)信息（如基礎(chǔ)架構(gòu)、資源供應(yīng)商向制造商供應(yīng)原材料到產(chǎn)品最終交付給最終用戶的整個過程。從本報告探討了在調(diào)研中發(fā)現(xiàn)的三項關(guān)鍵網(wǎng)絡(luò)風(fēng)險管理挑戰(zhàn)。針對每一項挑戰(zhàn)，我們提出了相應(yīng)的機(jī)遇，即如何通過克服挑戰(zhàn)來增強(qiáng)供應(yīng)鏈韌性。每個部分還附有簡

明的行動方案，企業(yè)高管可以采取這些具體步驟，更有效地在其組織和生態(tài)系統(tǒng)中整合網(wǎng)絡(luò)風(fēng)險和供應(yīng)鏈風(fēng)險管理。硬件、操作系統(tǒng)、云服務(wù)）、代碼編寫人員以及代碼的來源，如注冊表、GitHub存儲庫、代碼庫或其他開源項目。其中還包括可能對軟件安全產(chǎn)生負(fù)面影響的任何漏洞。挑戰(zhàn)一：規(guī)模龐大數(shù)字供應(yīng)鏈運(yùn)營和風(fēng)險迅速激增供應(yīng)商根據(jù)所有行業(yè)受訪高管的數(shù)據(jù)，每家組織平均擁有

1,284家直數(shù)量會大幅增加（見圖

1）。近一半

(48%)的受訪者估計，間數(shù)量的五倍，即

6,420家。這些直―

相當(dāng)于至少有

7,700個潛在威脅向量可能進(jìn)入組織。網(wǎng)絡(luò)正在迅速擴(kuò)展。本調(diào)研表明，受訪組織擁有龐大的直接和間接供應(yīng)商網(wǎng)絡(luò)。接供應(yīng)商。而如果計入間接供應(yīng)商，則第三方供應(yīng)商接供應(yīng)商數(shù)量是直接供應(yīng)商接和間接供應(yīng)商共同構(gòu)成了一個龐大的攻擊面圖

1不斷擴(kuò)大的供應(yīng)商網(wǎng)絡(luò)帶來了龐大的攻擊面，為入侵關(guān)鍵基礎(chǔ)架構(gòu)和運(yùn)營提供了許多切入點。直接+間接供應(yīng)商總數(shù)等于20倍間接供應(yīng)商數(shù)量等于26,964直接供應(yīng)商數(shù)量（3%的受訪者）10倍直接供應(yīng)商數(shù)量14,124（17%的受訪者）5倍1倍7,704直接供應(yīng)商數(shù)量（48%的受訪者）直接供應(yīng)商數(shù)量2,568（32%的受訪者）1,284直接供應(yīng)商數(shù)量平均值問：有多少直接供應(yīng)商為貴組織的關(guān)鍵供應(yīng)鏈提供支持？問：估計有多少間為貴組織的直接供應(yīng)商提供支持？接（第

n方）供應(yīng)商4供應(yīng)商困難，甚至不可能，更不用說協(xié)同有效的應(yīng)對措施了。

力。在過去三年中，針對各行業(yè)受訪者調(diào)研的主要發(fā)現(xiàn)這將對運(yùn)營產(chǎn)生巨大的影響。與供應(yīng)商數(shù)量最少的組織

包括：相比，供應(yīng)商數(shù)量最多的組織遇到的嚴(yán)重

運(yùn)營影響事件多出

17%。這項分析考慮了多項因素的影響，包括網(wǎng)網(wǎng)絡(luò)如此龐大，使得組織預(yù)測潛在中斷變得非常這一現(xiàn)狀給供應(yīng)鏈應(yīng)用和服務(wù)的安全性帶來了巨大的壓–40%的受訪者表示其組織遭遇過需要近采取非常措要施來應(yīng)對的網(wǎng)絡(luò)安全事件，或?qū)\(yùn)營產(chǎn)生持久而實質(zhì)絡(luò)事件、人才和原材料短缺以及極端天氣事件（參見第20頁的分析）。性影響的網(wǎng)絡(luò)安全事件。–(52%)IT應(yīng)超過一半的受訪者表示其組織的供應(yīng)鏈?zhǔn)聦嵣?，在高度互?lián)的供應(yīng)鏈環(huán)境中，網(wǎng)絡(luò)事件往往會成為引發(fā)嚴(yán)重

中斷的導(dǎo)火索。盡管本調(diào)研表明，受訪用和服務(wù)曾遭遇重

大或嚴(yán)重

中斷。–

IT者并未遭受過通過供應(yīng)商與其他職能領(lǐng)域相比，

應(yīng)用和服務(wù)中斷對運(yùn)營產(chǎn)發(fā)起的大規(guī)模網(wǎng)絡(luò)攻擊，但30%的受訪者表示在過去三年中因第三方漏洞而遭受生的影響更為顯著。過攻擊。最近的一份報告表明，這一問題正變得日益普展望未來，65%的受訪者認(rèn)為供應(yīng)鏈中斷可能發(fā)生在遍：41%的受訪組織表示遭受過由第三方導(dǎo)致的重大7組織的IT基礎(chǔ)架構(gòu)中，另有

53%的受訪者認(rèn)為供應(yīng)鏈網(wǎng)絡(luò)事件。中斷可能發(fā)生在組織的

IT應(yīng)用和服務(wù)中（見圖

2）。圖

2IT相關(guān)職能是供應(yīng)鏈中斷最有可能發(fā)生且受影響最嚴(yán)重的領(lǐng)域。組織百分比供應(yīng)鏈中斷產(chǎn)生巨大影響50%IT應(yīng)用和服務(wù)40%30%運(yùn)輸尋源需求規(guī)劃分發(fā)庫存管理IT基礎(chǔ)架構(gòu)采購20%10%制造訂單管理10%20%30%40%50%60%70%組織百分比中斷可能性很高問：供應(yīng)鏈中斷最有可能發(fā)生在哪里？回答“可能”和“極有可能”的受訪者百分比。問：哪些職能領(lǐng)域最容易受到供應(yīng)鏈中斷的影響？回答“影響中等”和“影響重

大”的受訪者百分比。5機(jī)遇：利用“安全設(shè)計”方法增強(qiáng)網(wǎng)絡(luò)和供應(yīng)鏈韌性。鑒于廣泛的業(yè)務(wù)合作伙伴關(guān)系，組織需要采用一種新方網(wǎng)絡(luò)風(fēng)險管理法來保障供應(yīng)鏈安全，即認(rèn)識到內(nèi)部和外部

IT平臺與服務(wù)之間的共同功能。許多供應(yīng)鏈輸入和輸出都是使用通用基礎(chǔ)架構(gòu)來實現(xiàn)和交付的，這為組織帶來了優(yōu)勢。如果將網(wǎng)絡(luò)風(fēng)險和供應(yīng)鏈風(fēng)險管理視為相互關(guān)聯(lián)的關(guān)系，則這兩個維度的能力都會變得更加強(qiáng)大。這就像是性會相互增強(qiáng)。兩者凝聚為一股合力，可改善效率、協(xié)和價值創(chuàng)造；但同時也代表了兩種相互依賴且并行發(fā)展的能力。提高可視性和治理能力對于組織內(nèi)部，乃至整個供應(yīng)鏈和合作伙伴生態(tài)系統(tǒng)都至關(guān)重一種

DNA雙螺旋結(jié)構(gòu)，網(wǎng)絡(luò)韌性和供應(yīng)鏈韌同要。從更實際的層面一種貫穿整個供應(yīng)鏈的文化，從初始設(shè)計、采購材料、供應(yīng)商、分銷到產(chǎn)品生命周

期結(jié)束，網(wǎng)絡(luò)風(fēng)險管理、安全和韌性均處于重

地位。作為第一步，供應(yīng)鏈和風(fēng)險管理領(lǐng)導(dǎo)者可以效仿軟件和硬件開發(fā)社區(qū)的做法，采用“安全設(shè)計”原則，也稱為“左移”。來說，這種程度的整合是什么樣的？這是要這種方法將安全置于決策的最前沿，而不是事后再“亡8羊補(bǔ)牢”。

通過將“安全設(shè)計”應(yīng)用于供應(yīng)鏈的每一個階段，可推動運(yùn)營各方優(yōu)先加強(qiáng)網(wǎng)絡(luò)風(fēng)險管理和協(xié)同治理實踐。這有助于促進(jìn)各職能部門以及整個合作伙伴生態(tài)系統(tǒng)的協(xié)作。這帶來了諸多優(yōu)勢，例如能夠盡早發(fā)現(xiàn)潛在漏洞、分享最佳實踐，以及有助于協(xié)同應(yīng)對威脅（參見第

8頁的案例研究：“汽車制造商采用全新的安供應(yīng)鏈風(fēng)險管理全優(yōu)先思維”）。6運(yùn)營和業(yè)務(wù)成效。根據(jù)

IBM商這種方法有助于改善業(yè)行動：采用“安全設(shè)計”方法優(yōu)先價值研究院的分析，在網(wǎng)絡(luò)風(fēng)險和供應(yīng)鏈風(fēng)險管理領(lǐng)域具有更高成熟度的組織實現(xiàn)了更出眾的安全投資回報率增強(qiáng)供應(yīng)鏈運(yùn)營的安全性。（見圖

3）。這兩個維度的成熟度相互強(qiáng)化。與表示受1.組建一個跨職能的供應(yīng)鏈風(fēng)險管理團(tuán)隊，包括

IT、到類似網(wǎng)絡(luò)安全事件嚴(yán)重

影響的其他組織相比，此類組少

89%。

OT和產(chǎn)品安全專家，負(fù)責(zé)審查當(dāng)前的供應(yīng)鏈流程和織在過去三年中遭遇的網(wǎng)絡(luò)事件要系統(tǒng)。2.編寫一份供應(yīng)商名單，并按關(guān)鍵性和風(fēng)險暴露進(jìn)行細(xì)分。安排團(tuán)隊識別所有潛在的薄弱環(huán)節(jié)，涵蓋

從供應(yīng)商采購、物流到軟件分銷渠道的整個周

期。3.然后，讓團(tuán)隊合作設(shè)計和整合安全控制措施，以緩解已識別的風(fēng)險。圖

3平均安全投資回報率

(ROSI)更成功地整合網(wǎng)絡(luò)風(fēng)險和供應(yīng)鏈風(fēng)險管理的組織實現(xiàn)了更高的安全投資回報率。高71%ROSI增幅網(wǎng)絡(luò)風(fēng)險管理成熟度低低高供應(yīng)鏈風(fēng)險管理成熟度基于

IBMIBV分析。7案例研究汽車制造商采用全新的9安全優(yōu)先思維隨著汽車日益依賴于軟件，網(wǎng)絡(luò)安全對于保障汽車安全至關(guān)重要?，F(xiàn)代汽車包含超過

1.5億行代碼，自然也就增加了網(wǎng)絡(luò)攻擊的幾率。為了應(yīng)對這些威脅，各種新的法規(guī)不斷出臺，包括聯(lián)合國歐洲經(jīng)濟(jì)委員會

(UNECE)發(fā)布的

WP.29法規(guī)和

ISO/SAE21434標(biāo)準(zhǔn)，旨在管理整個產(chǎn)品生命周

期中10的軟件網(wǎng)絡(luò)安全風(fēng)險。一家全球汽車制造商意識到，要電動化和拓展智能互聯(lián)汽車用戶實現(xiàn)全面群的宏大目標(biāo)，網(wǎng)絡(luò)安全將發(fā)揮至關(guān)重網(wǎng)絡(luò)安全成熟度已勢在必行?針對關(guān)鍵

IT資產(chǎn)樣本的風(fēng)險量化評估表明，預(yù)計年損失超過

10億美元，這一驚要的作用。該公司還發(fā)現(xiàn)加速提高人的金額可能會威脅到未來的運(yùn)營和品牌形象?；A(chǔ)架構(gòu)和服務(wù)的長期投資，該公司與

IBM合作于對

MicrosoftAzure基開啟了重

塑網(wǎng)絡(luò)安全性旅程?從手動、被動的安全態(tài)勢轉(zhuǎn)變?yōu)橹鲃宇A(yù)測可能發(fā)生的事件。該流程采用一種全面能并整合安全控制，從制造

/OT和企業(yè)

/IT，到合理化互聯(lián)產(chǎn)品到企業(yè)的招聘和培訓(xùn)實踐。對于這家

OEM來說，這相當(dāng)于一種全新的思維的“安全設(shè)計”方法，在整個運(yùn)營流程中嵌入安全功供應(yīng)商，再方式。該公司不是與后端服務(wù)、供應(yīng)商生態(tài)系統(tǒng)與工廠車間的基本要素，包括為其代碼庫做出貢獻(xiàn)的軟件供應(yīng)商。

轉(zhuǎn)型路線圖預(yù)計會在未來三年內(nèi)將風(fēng)險減少一半。在安全漏洞出現(xiàn)后才去修補(bǔ)，而是將安全作為連接車隊11全面的“安全設(shè)計”方法在整個運(yùn)營流程中嵌入安全功能和控制?從制造

/OT和企業(yè)

/IT，到合理化互聯(lián)產(chǎn)品供應(yīng)商，再到員工招聘和培訓(xùn)實踐。8挑戰(zhàn)二：管理分散分散管理網(wǎng)絡(luò)風(fēng)險和供應(yīng)鏈風(fēng)險的后果大多數(shù)組織的風(fēng)險管理都處于一種各自為戰(zhàn)的分散狀態(tài)。不過，重

大風(fēng)險通常具有跨職能的性質(zhì)，因此不會遵循組織邊界，尤其是理供應(yīng)鏈和數(shù)字供應(yīng)鏈都對收入有巨大的貢獻(xiàn)（見圖

4），但組織缺乏將兩者風(fēng)險責(zé)任聯(lián)系在一起的整體視圖。70%的受訪高管表示，物理風(fēng)險和網(wǎng)絡(luò)風(fēng)險由組織的不同管理物理和數(shù)字供應(yīng)鏈的組織邊界。盡管物部門管理，因此可能會忽視或低估物理和數(shù)字威脅向量的共同風(fēng)險。圖

4供應(yīng)鏈大部分已經(jīng)實現(xiàn)數(shù)字化。組織收入百分比35%34%30%通過物理供應(yīng)鏈通過結(jié)合兩者通過數(shù)字供應(yīng)鏈數(shù)字供應(yīng)鏈占組織收入的近

2/3問：估計貴組織的收入通過以下方式實現(xiàn)和達(dá)成的比例：通過物理供應(yīng)鏈、通過數(shù)字供應(yīng)鏈以及通過兩者的組合。2023年。由于四舍五入，百分比總數(shù)不等于

100%。9機(jī)遇：利用AI和自動化改善內(nèi)部可從更具體的層面來看，物理和數(shù)字風(fēng)險以及整個物理和誰？根據(jù)

IBM商5）。并數(shù)字供應(yīng)鏈的負(fù)責(zé)人員是業(yè)價值研究視性和協(xié)同能力，從而推動外部成效。院的調(diào)研，這些職責(zé)分散在高管團(tuán)隊中（見圖沒有一位高管能夠全面掌控所有潛在風(fēng)險。職位名稱可通過適當(dāng)?shù)闹卫?，?shù)字價值鏈可以提高可見性并推動能因公司規(guī)模和組織結(jié)構(gòu)而異，但如果風(fēng)險管理和供應(yīng)有效協(xié)同，從而超越組織內(nèi)的職能邊界并增強(qiáng)整個供鏈運(yùn)營由傳統(tǒng)職能部門來組織，則整個企業(yè)的協(xié)同就會應(yīng)商體系的能力。依托于云服務(wù)、物聯(lián)網(wǎng)和

AI等技術(shù)，很困難。對于難以與生態(tài)合作伙伴保持同互聯(lián)互通的供應(yīng)商體系可促進(jìn)實時通信、協(xié)作、治理這是一項更為嚴(yán)峻的挑戰(zhàn)。對于許多組織來說，不同和數(shù)據(jù)共享。這些關(guān)鍵能力將推動整個供應(yīng)鏈和生態(tài)門之間系統(tǒng)合作伙伴進(jìn)行有效協(xié)同，從而大幅提升生產(chǎn)效率步的組織來說，部往往缺乏溝通

―

這為安全和供應(yīng)鏈領(lǐng)導(dǎo)者帶來了一項重

大挑戰(zhàn)。和規(guī)模。圖

5風(fēng)險和供應(yīng)鏈職責(zé)分散在高管團(tuán)隊中，因此難以建立涵蓋物理和數(shù)字領(lǐng)域的整體視圖。各領(lǐng)域主要負(fù)責(zé)人的領(lǐng)導(dǎo)職位CEOCDOCIOCOOCISOCROCTOCSCO物理風(fēng)險數(shù)字物理供應(yīng)鏈數(shù)字0-10%11-20%21-30%31-40%41-50%51-60%問：請指出負(fù)責(zé)物理風(fēng)險、數(shù)字風(fēng)險、物理供應(yīng)鏈、數(shù)字供應(yīng)鏈的最高級管理人員。10大多數(shù)

(84%)受訪組織表示在構(gòu)建安全互聯(lián)生態(tài)系統(tǒng)方面御能力（見圖

6）。資中，AI位于優(yōu)先級列表的榜首（請參閱第

15頁的“觀進(jìn)行了中等程度到重

大程度的投資；事實上，這些組織側(cè)重

于利用先進(jìn)技術(shù)來改善供應(yīng)鏈和網(wǎng)絡(luò)防在增強(qiáng)供應(yīng)鏈韌性的安全和運(yùn)營投點：生成式

AI助力保障生態(tài)系統(tǒng)安全”）。圖

6企業(yè)高管正在優(yōu)先采用先進(jìn)技術(shù)來增強(qiáng)運(yùn)營韌性，從而改善協(xié)作。最主要的

最主要的網(wǎng)絡(luò)安全投資

供應(yīng)鏈韌性投資54%

AI運(yùn)營和數(shù)據(jù)集成安全

AI和自動化

53%威脅檢測和事件響應(yīng)

52%48%

托管服務(wù)提供商監(jiān)管合規(guī)性

50%43%

IT架構(gòu)網(wǎng)絡(luò)風(fēng)險管理

48%38%

IT/IS協(xié)同與治理安全分析/遙測

44%38%

變革型軟件解決方案30%

供應(yīng)商采購實踐網(wǎng)絡(luò)人才

42%28%

基礎(chǔ)架構(gòu)平臺和服務(wù)數(shù)據(jù)安全、加密、完整性、治理

37%24%

業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)合作伙伴整合和生態(tài)系統(tǒng)級別安全

10%問：貴組織在增強(qiáng)供應(yīng)鏈韌性方面最優(yōu)先的網(wǎng)絡(luò)投資是什么？問：貴組織在增強(qiáng)供應(yīng)鏈韌性方面最優(yōu)先的投資是什么？11超過一半

(54%)的受訪組織表示正在運(yùn)營中利用

AI和數(shù)據(jù)集成，從而提高整個供應(yīng)鏈的效率、可預(yù)測性和響應(yīng)能力。受訪高管還表示正在專注于構(gòu)建更加現(xiàn)代化、但組織需要不僅僅是資新技術(shù)?，F(xiàn)代運(yùn)營模式的真正考驗在于如何無縫擴(kuò)展能力，以覆蓋

整個供應(yīng)商更多地關(guān)注更新其運(yùn)營治理和支持實踐，而投體系并延伸到生態(tài)可擴(kuò)展且可靠的

IT基(48%)和

IT架構(gòu)

(43%)。云平臺構(gòu)建于標(biāo)準(zhǔn)13礎(chǔ)架構(gòu)，相關(guān)的投資包括托管服系統(tǒng)環(huán)境中。

運(yùn)用責(zé)任共擔(dān)模式來管理供應(yīng)鏈安全有務(wù)提供商助于每個供應(yīng)鏈參與者為維護(hù)整體安全態(tài)勢的完整性和設(shè)計模式和通用治理框架之上，因此有助于增強(qiáng)洞察、

安全性做出貢獻(xiàn)?從價值鏈、供應(yīng)鏈到合作伙伴生態(tài)協(xié)作和自動化。系統(tǒng)（見圖

7）。這樣一來，供應(yīng)商體系就成為了更強(qiáng)韌性的來源，而不是更大的風(fēng)險。在網(wǎng)絡(luò)安全投資方面，安全

AI和自動化

(53%)位居第一，其次是威脅檢測和事件響應(yīng)

(52%)。借助

AI賦能

這個方向砥礪前行：58%的受訪高企業(yè)領(lǐng)導(dǎo)者正朝著的自動化，組織可以建立更具預(yù)防性和主動性的安全態(tài)

管認(rèn)為價值鏈、供應(yīng)鏈和生態(tài)系統(tǒng)是相互關(guān)聯(lián)的。受訪12AI70%勢，同時改善洞而

賦

者還認(rèn)識到讓合作伙伴參與風(fēng)險管理的重要性：察力、生產(chǎn)力和規(guī)模經(jīng)濟(jì)。能的運(yùn)營則有助于推動建設(shè)安全運(yùn)營中心

(SOC)，并借的受訪高管表示，通過將合作伙伴整合到自身的風(fēng)險和治理模型中，其組織增強(qiáng)了供應(yīng)鏈韌性。助合作伙伴逐漸實現(xiàn)虛擬安全運(yùn)營中心?，F(xiàn)代運(yùn)營模式的真正考驗在于如何無縫擴(kuò)展能力，以覆蓋整個供應(yīng)商體系并延伸到生態(tài)系統(tǒng)環(huán)境中。12圖

7價值鏈、供應(yīng)鏈和生態(tài)系統(tǒng)正在并行發(fā)展。價值鏈+生態(tài)系統(tǒng)+供應(yīng)鏈x1x10x100規(guī)模重點價值創(chuàng)造和效率

協(xié)同和履行

擴(kuò)展能力和編排輸入

/輸出已知且通常不變高容量、專用、定制動態(tài)；可按需擴(kuò)展直接線性；通過有序組織來最大單向；供應(yīng)商向客戶提供產(chǎn)品或

多向；標(biāo)準(zhǔn)化模式和治理意化增值活動

服務(wù)

味著中間方可以增加價值設(shè)計獨立但模塊化單邊；一方對一方，通常通過中多邊；針對復(fù)雜的供應(yīng)商關(guān)間方

系進(jìn)行優(yōu)化方向速度、消除摩擦和浪費(fèi)

容量和韌性

通過標(biāo)準(zhǔn)和治理來改進(jìn)效率和態(tài)勢管理風(fēng)險遏制和緩解風(fēng)險以防止破壞

轉(zhuǎn)移風(fēng)險；供應(yīng)商承擔(dān)不確定性，

風(fēng)險共擔(dān)；盡可能分散不確價值但買方承擔(dān)影響

定性和影響13行動：加強(qiáng)組織內(nèi)部以及與供應(yīng)商共同承擔(dān)供應(yīng)鏈安全責(zé)任的模式。1.召集高管團(tuán)隊共同韌性。定義標(biāo)準(zhǔn)并設(shè)定協(xié)同、溝通和治理的期望。2.組建團(tuán)隊并指定流程負(fù)責(zé)人來調(diào)查在組織內(nèi)和重義標(biāo)準(zhǔn)、政策和相關(guān)控制措施來維持強(qiáng)大的安全態(tài)勢，詳細(xì)明確利益相關(guān)者、流程負(fù)責(zé)人、供應(yīng)商和合作伙伴的期望。確定應(yīng)如何管理這些職責(zé)，以及如何將疏忽轉(zhuǎn)變?yōu)楦倪M(jìn)的來源明確期望，并分配資源來支持改進(jìn)跨職能協(xié)作，從而增強(qiáng)供應(yīng)鏈要供

應(yīng)商中如何處理安全責(zé)任。定。3.創(chuàng)建所有直要求重要供應(yīng)商為其直接供應(yīng)商）創(chuàng)建類似的依賴關(guān)系圖。（您的第

n方供應(yīng)商接供應(yīng)商的清單，并列出對內(nèi)部和外部系統(tǒng)、服務(wù)和數(shù)據(jù)存儲的訪問權(quán)限。4.當(dāng)部署新的供應(yīng)商平臺時，利用投標(biāo)和采購流程來改進(jìn)整個供應(yīng)商體系的可見性、可追溯性和網(wǎng)絡(luò)治理實踐。通過應(yīng)用責(zé)任共擔(dān)模式來管理供應(yīng)鏈安全，供應(yīng)商就成為了更強(qiáng)韌性的來源，而不是更大的風(fēng)險。14觀點生成式

AI助力保障生態(tài)系統(tǒng)安全根據(jù)

IBM商研究院近期的一項調(diào)研，96%的受業(yè)價值共同推動網(wǎng)絡(luò)安全和供應(yīng)鏈運(yùn)營轉(zhuǎn)型訪美國高管表示，采用生成式

AI可能會在未來三年內(nèi)14AI高管們對生成式

持樂觀狀態(tài)，但預(yù)期略為保守。導(dǎo)致其組織出現(xiàn)安全漏洞。而這次最新調(diào)研的受訪者則表現(xiàn)得更樂觀。只有

39%的受訪者預(yù)計生成式

AI會對其運(yùn)營安全性和韌性構(gòu)成重

大風(fēng)險，而

52%的受訪者認(rèn)為生成式

AI的好處將超過任何潛在風(fēng)險（見圖）。62%

生成式

AI將變革安全能力網(wǎng)絡(luò)風(fēng)險和網(wǎng)絡(luò)這項技術(shù)為網(wǎng)絡(luò)犯罪分子提供了新的工具，同時也能為15防御者提供更高級的功能來檢測和應(yīng)對攻擊。55%生成式

AI將變革供應(yīng)鏈運(yùn)營作為整體安全戰(zhàn)略的一部分，生成式

AI可以在增強(qiáng)供應(yīng)鏈韌性方面發(fā)揮重要作用，包括加快供應(yīng)商評估和管理實踐、支持協(xié)同事件響應(yīng)的模擬和規(guī)劃、自動執(zhí)行日常任務(wù)以減輕人為錯誤的影響，以及為供應(yīng)鏈系統(tǒng)提供實時監(jiān)控，以便及時發(fā)出安全問題警報。隨著能力日趨52%

生成式

AI的好處超過風(fēng)險45%

生成式

AI將變革我們的生態(tài)合作成熟，生成式

AI將變得更加以行動為導(dǎo)向

―

編寫和修正代碼、檢查代碼庫，以及幫助定義和監(jiān)控安全策略與控制措施。一項研究表明，生成式

AI將編寫代碼的完方法縮短了

35%至

45%。1639%成時間生成式AI對運(yùn)營安全性和韌性構(gòu)成重

大風(fēng)險超過一半的受訪者

(55%)看到了生成式

AI在變革的潛力。在當(dāng)前或未來

12個月內(nèi)，企業(yè)投資部署生成式

AI的主要供應(yīng)鏈運(yùn)營方面供應(yīng)鏈用例包括提高運(yùn)營效率，分配、風(fēng)險管理（包括網(wǎng)絡(luò)安全），以及增強(qiáng)可視性以改進(jìn)預(yù)測和決策能力。更長期的目標(biāo)則包括合問：考慮貴公司未來三年的戰(zhàn)略，您在多大程度上同意以下關(guān)于生成式AI的陳述？例如資源規(guī)管理和物流，例如機(jī)器人、無人機(jī)和自動駕駛汽車。15挑戰(zhàn)三：最薄弱的環(huán)節(jié)圖

8從長遠(yuǎn)來看，在選擇供應(yīng)商時優(yōu)先考慮成本而許多供應(yīng)鏈合作伙伴的安全實踐較差不是風(fēng)險和韌性因素可能會產(chǎn)生更高的成本。65%64%成本如果供應(yīng)鏈的安全性取決于其最薄弱的環(huán)節(jié)，那么不遵守組織安全準(zhǔn)則的合作伙伴就會使整個供應(yīng)鏈變得脆弱。然而，對于受訪高管來說，安全實踐并不是選擇供應(yīng)商的主要考慮因素。事實上，成本才是其首要決定因露、信息安全、監(jiān)管合規(guī)和韌60%素，其重要性要比風(fēng)險暴性等因素高出

23%（見圖

8）。不過，采購成本上的任何財務(wù)節(jié)省可能是短暫的，因為從長遠(yuǎn)來看，忽視供應(yīng)商的安全實踐可能會導(dǎo)致更高的延遲成本。隨著時間的推移，較低的風(fēng)險和韌性可視性可能會推高運(yùn)營支持成本，而在風(fēng)險和韌性方面的投55%資52%績效則有助于降低這些成本（請參閱第

20頁的“觀點：累積風(fēng)險如何將組織置于險境”）。50%45%40%35%49%靈活性45%風(fēng)險暴45%品牌價值露44%監(jiān)管合規(guī)42%服務(wù)質(zhì)量40%信息安全40%互操作性35%韌性問：選擇供應(yīng)商時最重要的因素是什么？16即使在評估供應(yīng)商風(fēng)險時，只有約一半的受訪者會將數(shù)據(jù)和信息安全納入采購流程。這遠(yuǎn)低于品牌聲譽(yù)和財務(wù)報告這兩項主要因素，而這兩者都無法提供真實可見的風(fēng)險管理實踐（見圖

9）。圖

9在評估供應(yīng)商風(fēng)險時，只有一半的受訪者會考慮數(shù)據(jù)和信息安全。定量定性13%41%27%44%13%22%41%53%46%54%14%38%60%81%71%58%51%51%51%50%49%46%43%42%35%35%聲譽(yù)監(jiān)管合規(guī)公司治理法律實踐勞動力實踐倫理和誠信實踐遵守行業(yè)標(biāo)準(zhǔn)數(shù)據(jù)和信息安全技術(shù)標(biāo)準(zhǔn)運(yùn)營健康和安全因素外國所有權(quán)和影響關(guān)鍵供應(yīng)商77%19%財務(wù)報告實踐50%50%0%問：貴組織如何評估潛在供應(yīng)商的風(fēng)險（定量）？問：貴組織如何評估潛在供應(yīng)商的風(fēng)險（定性）？17最令人擔(dān)憂的是，受訪組織表示其供應(yīng)商對網(wǎng)絡(luò)風(fēng)險管理推薦實踐的采用率較低（見圖10）。例如，只有略高于一半的受訪組織表示會對其直接和間接供應(yīng)商進(jìn)行風(fēng)險態(tài)勢評估。盡管這是一項最常見的實踐，它不過是改善組織整體風(fēng)險態(tài)勢的最低標(biāo)準(zhǔn)。在供應(yīng)商引導(dǎo)方面，只有不到一半的受訪者使用了所有其他評估實踐。圖

10理解供應(yīng)商風(fēng)險暴露：不成熟的網(wǎng)絡(luò)風(fēng)險評估實踐會導(dǎo)致更大的下游漏洞。間接直接58%55%量化風(fēng)險暴露39%47%執(zhí)行定期盡職調(diào)查32%43%評估供應(yīng)商的關(guān)鍵依賴關(guān)系的補(bǔ)救/響應(yīng)程序盤點關(guān)鍵資產(chǎn)/服務(wù)35%41%40%39%35%建立共同26%46%41%評估運(yùn)營治理量化風(fēng)險暴露28%33%評估軟件來源25%27%32%30%評估采購實踐和控制評估供應(yīng)商潛在攻擊面27%30%開展事件響應(yīng)演練100%0%100%問：在您的直接供應(yīng)商中，日常運(yùn)營中采用了哪些領(lǐng)先實踐？問：在您的間接供應(yīng)商中，日常運(yùn)營中采用了哪些領(lǐng)先實踐？18我們調(diào)研的受訪者在其軟件供應(yīng)鏈管理實踐方面也反映IBMX-Force威脅情報團(tuán)隊指出，這導(dǎo)致各種層出不窮出類似的不成熟水平。盡管采用了一些領(lǐng)先實踐，但受的攻擊方法都將軟件供應(yīng)鏈作為目標(biāo)。最近的一項調(diào)研表明，使用有效憑證的攻擊量同比大幅增長

(+71%)，訪者僅處于其采用的早期階段（見圖

11）。這些憑證通過暗網(wǎng)銷售，讓攻擊者從黑客攻擊轉(zhuǎn)向登錄我們以訪問控制和合規(guī)措施為例。只有

22%的受訪者17攻擊。

如果沒有強(qiáng)大的風(fēng)險文化來主動識別和管理供表示其組織部署了訪問控制和最小權(quán)限原則來保護(hù)軟件應(yīng)商和軟件漏洞，供應(yīng)鏈韌性仍將無從談起。供應(yīng)鏈。圖

11受訪者仍處于采用軟件供應(yīng)鏈安全最佳實踐的早期階段。安全測試和驗證執(zhí)行臨時代碼完整性檢查和審查在預(yù)定義檢查點進(jìn)行代碼審查驗證生成式

AI輸入和輸出的完整性測試各個軟件組件的完整性32%30%30%27%使用滲透測試查找漏洞15%基礎(chǔ)設(shè)施和軟件管理標(biāo)準(zhǔn)化軟件治理37%32%29%27%理解開源組件的依賴關(guān)系創(chuàng)建軟件組件清單要求提供軟件物料清單

(SBOM)實施靜態(tài)或不可變的基礎(chǔ)設(shè)施實踐20%訪問控制和合規(guī)性實施持續(xù)合規(guī)實踐29%28%24%記錄政策或控制中的疏漏為第三方合作伙伴實施軟件質(zhì)量控制部署訪問控制和最小權(quán)限原則22%運(yùn)營實踐與原則實施持續(xù)監(jiān)控功能采用

DevSecOps原24%32%29%則和實踐將運(yùn)營韌性實踐融入運(yùn)營問：您在組織中采取了哪些措施來保障軟件供應(yīng)鏈安全？19觀點累積風(fēng)險如何將組織置于險境韌性不能止于保持警惕。運(yùn)營中斷通常是難以通過標(biāo)準(zhǔn)風(fēng)險模型進(jìn)行預(yù)測。過去五年的經(jīng)驗明確表明，風(fēng)險是逐漸出現(xiàn)的，然后由于無法預(yù)見的多項因素而突然爆發(fā)，從而引發(fā)連鎖反應(yīng)，對整個供應(yīng)鏈上下游造成嚴(yán)破壞。

比如，想象一下勒索軟件攻擊加上人才短缺，再加上災(zāi)難性的天氣事件，然后一條航運(yùn)路線堵塞，需要繞行很長一段距離。由各種復(fù)雜、連續(xù)的風(fēng)險所導(dǎo)致的，這些風(fēng)險18重隨著和創(chuàng)收（見圖）。大約三分之一的受訪者表示曾受到多項風(fēng)險因素的顯著影響，這意味需要采取非常措施來應(yīng)對相應(yīng)風(fēng)險。還有一小部分但為數(shù)不少的受訪者表示遭遇了更為嚴(yán)重

和持久的中斷。對數(shù)字服務(wù)的依賴日益增加，風(fēng)險迅速擴(kuò)展到

IT/IS領(lǐng)域以外，從而擾亂核心運(yùn)營著隨著風(fēng)險因素的增加，累積風(fēng)險成為一個日益嚴(yán)重

的問題。2021年至

2023年期間影響運(yùn)營的因素技術(shù)型人才的可用性貿(mào)易環(huán)境的變化疫情/健康影響獲取資本49%45%42%40%40%第三方故障原材料短缺40%39%網(wǎng)絡(luò)安全事件能源中斷35%28%25%氣候相關(guān)事件政治不確定性嚴(yán)重

：中斷對持續(xù)業(yè)務(wù)運(yùn)營造成了持久而重

大的影響顯著：需要采取非常措施來應(yīng)對，并對業(yè)務(wù)產(chǎn)生了顯著影響問：2021年至

2023年期間，以下因素對運(yùn)營產(chǎn)生了什么樣的影響？表示產(chǎn)生“顯著”或“嚴(yán)重

”影響的受訪者比例。20未來十年，隨著供應(yīng)鏈轉(zhuǎn)向安全、具有韌性的生態(tài)系統(tǒng)，也會出現(xiàn)各種新的不確定性因素，也需要更加關(guān)注各種新的風(fēng)險。

尤其令人擔(dān)憂的是，我們懷疑運(yùn)營受到顯著影響的組織中有較高比例可能已經(jīng)達(dá)到管理多重

風(fēng)險的能力極限。只要外加一點沖擊，就可能令這些組織落新型貿(mào)易關(guān)系的出現(xiàn)，供應(yīng)鏈運(yùn)營可能會發(fā)生巨變。即使組織從復(fù)雜的19入“嚴(yán)重

運(yùn)營影響”的類別，從而導(dǎo)致收入受到巨大影響。根據(jù)我們的分析，風(fēng)險因素的增加可能會意外地迅速演變成一場毀滅性的大規(guī)模中斷，在最嚴(yán)重

的情況下會危及超過

75％

的收入?；谑茉L者對上述每個風(fēng)險因素對收入影響的估計，我們的分析表明，那些受到多重

嚴(yán)重

風(fēng)險困擾的組織必須要面對令人擔(dān)憂的收入風(fēng)險：小型組織每年有

1.605億美元的收入面臨風(fēng)險，大型組織每年有超過

220億美元的收入面臨風(fēng)險。對于一些組織來說，當(dāng)前的形勢已經(jīng)再糟糕不過了

―

高風(fēng)險環(huán)境疊加經(jīng)濟(jì)不確定性帶來了極其嚴(yán)峻的挑戰(zhàn)。受訪者表示，過去三年（2021年至

2023年期間），其組織的平均收入增長率下降了

55%，利潤下降了

49%。多重

嚴(yán)重

風(fēng)險危及大量收入因嚴(yán)重

影響因素而面臨的預(yù)計收入風(fēng)險組織規(guī)模低平均高低平均高+1風(fēng)險因素+1風(fēng)險因素+1風(fēng)險因素+4風(fēng)險因素+4風(fēng)險因素+4風(fēng)險因素3,700萬美元

7,100萬美元

1.256億美元

1.605億美元

2.746億美元

4.133億美元平均年收入1.2億至

8.38億美元1.517億美元

2.91億美元6.486億美元

12.4億美元5.158億美元

4.729億美元

8.093億美元

12.2億美元平均年收入8.38億至

52億美元22億美元29.9億美元85.9億美元51.1億美元147億美元76.9億美元平均年收入52億至

161億美元23.4億美元44.9億美元79.6億美元221.2億美元平均年收入161億至

2,025億美元數(shù)字為四舍五入注：“低”、“平均”和“高”基于受訪者對特定事件影響運(yùn)營的一系列問題的回答：對于被歸類為“嚴(yán)重

”的沖擊，貴組織有多少百分比的收入面臨風(fēng)險？21機(jī)遇：為直接和間接供應(yīng)商營造強(qiáng)大、共同的安全文化，增強(qiáng)整個供應(yīng)商體系的韌性。未來，組織需要將安全意識作為文化基石，在整個運(yùn)營環(huán)境中加強(qiáng)網(wǎng)絡(luò)風(fēng)險管理、安全和韌性。這意味著采取整體方法來管理供應(yīng)鏈、網(wǎng)絡(luò)安全生命周

期和

IT/IS支持生態(tài)系統(tǒng)。為了遏制風(fēng)險和漏洞，組織應(yīng)當(dāng)在內(nèi)部和供應(yīng)商網(wǎng)絡(luò)中采用零信任原則。這正是“安全設(shè)計”方法的實際應(yīng)用。由于各種新的威脅向量可能會在運(yùn)營生命周

期的不同階段出現(xiàn)，因此組織應(yīng)當(dāng)著重

采用端到端的網(wǎng)絡(luò)風(fēng)險和網(wǎng)絡(luò)安全方法，涵蓋

從初始設(shè)計、材料采購、供應(yīng)商選擇、分銷到最終用戶運(yùn)營支持的整個周

期。我們的分析表明，這種轉(zhuǎn)變始于加強(qiáng)組織自身對軟件供20應(yīng)鏈管理最佳實踐的采用，包括遵守最新法規(guī)，例如汽車行業(yè)采用的法規(guī)。那些更有效采用這些實踐的受訪者正從強(qiáng)大的軟件安全實踐中獲益。這些組織在其供應(yīng)商體系中遇到運(yùn)營中斷的幾率明顯較低（見圖

12）。其次，出于自身利益考慮，企業(yè)高管必須通過適當(dāng)?shù)耐独砗蛻?yīng)對能力。更廣泛地采用供應(yīng)商評估、選擇和采購流程時，應(yīng)納入對安全漏洞控制以及風(fēng)險相關(guān)績效指標(biāo)的評估，最好是側(cè)重

于嚴(yán)重

性和潛在風(fēng)險收入的指標(biāo)。這可能還資，支持業(yè)務(wù)合作伙增強(qiáng)風(fēng)險管21要采用新的軟件質(zhì)量和驗證標(biāo)準(zhǔn)。為了遏制風(fēng)險和漏洞，組織應(yīng)當(dāng)在內(nèi)部和供應(yīng)商網(wǎng)絡(luò)中采用零信任原則。22圖

12對于軟件安全實踐更好的組織，其運(yùn)營中斷減少了

27%。運(yùn)營中斷指數(shù)1716.5161514131211更好的安全實踐可減少運(yùn)營中斷減少27%13.412.712.1<=4.005.006.007.00+軟件供應(yīng)鏈安全實踐（綜合得分）基于

IBMIBV分析。運(yùn)營中斷指數(shù)（y軸

）是表軟件供應(yīng)鏈安全實踐采用情況的綜合得分。分?jǐn)?shù)越高則表示軟件供應(yīng)鏈領(lǐng)先實踐的采用程度越高。這對應(yīng)于更低的運(yùn)營中斷發(fā)生率。根據(jù)一系列常見風(fēng)險因素來衡量組織中斷傾向的綜合指標(biāo)。x軸代23IBM商發(fā)現(xiàn)，對于中度依賴供應(yīng)商的組織（即戰(zhàn)略供應(yīng)商關(guān)系占收入的

50%-75%），其運(yùn)營業(yè)價值研究院的分析還表明，采購模式可能在運(yùn)營韌性中發(fā)揮著重要作用。我們中斷發(fā)生率降低了

17%（見圖

13）。圖

13一些組織在其供應(yīng)商采購模式中找到了最佳平衡點，可將運(yùn)營中斷減少

17%。運(yùn)營中斷指數(shù)2524.224232221201923.7正確的采購模式可以減少運(yùn)營中斷。17%差值23.520.0高度獨立于供應(yīng)商中度獨立于供應(yīng)商中度依賴于供應(yīng)商高度依賴于供應(yīng)商組織依賴戰(zhàn)略供應(yīng)商獲

組織依賴戰(zhàn)略供應(yīng)商獲得

組織依賴戰(zhàn)略供應(yīng)商獲得

組織依賴戰(zhàn)略供應(yīng)商得的收入少于

25%的收入達(dá)到25%至50%的收入達(dá)到

50%至

75%獲得的收入超過

75%供應(yīng)商依賴程度基于

IBMIBV對“您如何描述貴組織的供應(yīng)鏈采購模式？”這一問題的分析。運(yùn)營中斷指數(shù)（y軸

）是見風(fēng)險因素來衡量組織中斷傾向的綜合指標(biāo)。戰(zhàn)略供應(yīng)商的定義是“提供對于您的業(yè)務(wù)成功至關(guān)重根據(jù)一系列常要的商品或服務(wù)的公司”。24我們懷疑這是因為中度依賴供應(yīng)商的采購模式是一種富有吸引力的折衷方案。組織可以通過密切的合作伙伴關(guān)系獲得規(guī)模經(jīng)濟(jì)、標(biāo)準(zhǔn)化和治理，同時保留一定的靈活相關(guān)的風(fēng)險集中。行動：將營造強(qiáng)大的安全文化列為第一優(yōu)先要務(wù)。性，以避免供應(yīng)商1.安排一場研討會，為

IT/IS員工和合作伙伴啟動一這種中度供應(yīng)商依賴、共同鎖定或與極少供應(yīng)商投資和共擔(dān)責(zé)任的完美平衡，構(gòu)成了一個安全、互聯(lián)的生態(tài)系統(tǒng)，也就不足為奇了。增強(qiáng)供應(yīng)鏈韌性的最便捷項安全意識、行為和文化倡議。2.審查并更新現(xiàn)有政策，在其中納入軟件供應(yīng)鏈最佳對于許多組織來說，這或許是實踐。制定并傳達(dá)新的采購標(biāo)準(zhǔn)，并為各種領(lǐng)先安全評估、途徑。實踐實施安全控制措施，例如供應(yīng)商SBOM治理、軟件測試和代碼質(zhì)量審查等。3.查看美國國家標(biāo)準(zhǔn)與技術(shù)研究院

(USNIST)關(guān)于網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險管理的框架，了解您的組織可以22采用哪些領(lǐng)先實踐。4.優(yōu)先選擇具有安全意識的供應(yīng)商關(guān)鍵供應(yīng)商并評估其核心安全實踐（包括是否采用零信任架構(gòu)）以及相關(guān)的績效和服務(wù)水平。評估合條款是否包含遵守安全標(biāo)準(zhǔn)或績效閾值方面的內(nèi)容。根據(jù)定期安全審計來持續(xù)監(jiān)控合規(guī)情況。。首先，選擇三家同中度依賴供應(yīng)商的組織正在有效分擔(dān)責(zé)任?他們是安全、互聯(lián)生態(tài)系統(tǒng)中的重要合作伙伴。25作者KaivanKarimiIBM商業(yè)

價值研究院移動合作伙伴關(guān)系以及制造與移動

OT安全Microsoft業(yè)價值IBM商研究院

(IBMIBV)成立二十年來，憑借kaivankarimi@/in/kaivankarimi/IBM在商業(yè)、技術(shù)和社會交叉領(lǐng)域的獨特地位，每年都會針對成千上萬高管、消費(fèi)者和專家展開調(diào)研、訪談和互動，將他們的觀點綜合成可信賴的、振奮人心和切FabioCampos實可行的洞察。全球網(wǎng)絡(luò)戰(zhàn)略與風(fēng)險執(zhí)行合伙人網(wǎng)絡(luò)安全服務(wù)，IBMConsultingcamposf@需

要IBV最

新

研

究

成

果，

請

在

/ibv上

注

冊以接收

IBV的電子郵件通訊。您可以在

Twitter上關(guān)注

@IBMIBV，

或

通

過

https://ibm.co/ibv-linkedin在LinkedIn上聯(lián)系我們。/in/fabiolcampos/BrettDrummond訪問

業(yè)價值研究院中國官網(wǎng)，免費(fèi)下載研究報IBM商網(wǎng)絡(luò)安全服務(wù)合伙人IBMConsulting告：/ibv/cnBrett.Drummond@/in/brettdrummond/相關(guān)報告GeraldParham全球安全研究負(fù)責(zé)人兼

CIOCEO生成式

AI行動指南：網(wǎng)絡(luò)安全I(xiàn)BM商業(yè)價值研究院CEO生成式

AI行動指南：網(wǎng)絡(luò)安全gparham@/in/gerryparham/業(yè)價值IBM商研究院，2023年

11月/downloads/cas/2RMEW1QL致謝人工智能和自動化助力網(wǎng)絡(luò)安全許多人為本研究的設(shè)計和材料開發(fā)做出了貢獻(xiàn)。本報告人工智能和自動化助力網(wǎng)絡(luò)安全：領(lǐng)導(dǎo)者如何統(tǒng)籌技術(shù)中的內(nèi)容體現(xiàn)了許多才華橫溢的個人在研究設(shè)計、數(shù)據(jù)分析、編輯和敘述發(fā)展、圖形設(shè)計、主題專業(yè)知識和贊和人才以取得成功業(yè)價值IBM商研究院，2022年

8月助等方面的聰明才智和創(chuàng)造力。/downloads/cas/GNWDN5GD作者謹(jǐn)此特別感謝以下個人做出的杰出貢獻(xiàn)：JoannaWilkins、LilyPatel、KristinBiron、SaraAboulhosn、NagiPunyamurthula、RichardHogan、TeresaSuarez、AlliePowell、EvelynAnderson、CharlesChang、LiamCleaver和

DimpleAhluwalia。網(wǎng)絡(luò)經(jīng)濟(jì)時代的發(fā)展繁榮之道網(wǎng)絡(luò)經(jīng)濟(jì)時代的發(fā)展繁榮之道：重

新思考業(yè)務(wù)轉(zhuǎn)型的網(wǎng)絡(luò)風(fēng)險IBM商/downloads/cas/4MXMDOKA業(yè)價值研究院，2023年

2月26調(diào)研和研究方法為了解組織如何投資于安全功能以增強(qiáng)運(yùn)營韌性，受訪者的篩選標(biāo)準(zhǔn)如下：來自“正在很大程度上”實業(yè)價值IBM商研究院與牛津經(jīng)濟(jì)研究院合作，對

2,000施安全供應(yīng)鏈功能的組織，并且對其組織的供應(yīng)鏈采名負(fù)責(zé)供應(yīng)商管理、供應(yīng)商采購和生態(tài)系統(tǒng)合作伙伴購和方法“極其熟悉”。關(guān)系的高管開展了一項調(diào)研。調(diào)研采用雙盲方式，受訪者并不知道是哪些組織正在開展這項調(diào)研，IBM或?qū)Y(jié)果進(jìn)行分析以確定安全實踐與積極業(yè)務(wù)成效（例如增強(qiáng)運(yùn)營韌性）之間的重要關(guān)系。某些情況下，回微軟也不知道各個受訪者的身份。復(fù)結(jié)果會與類似項組合成一個綜合指數(shù)，然后一起進(jìn)調(diào)研對象包括以下角色的高管（或其等同職位）：主要行分析，以理解更復(fù)雜的現(xiàn)象，如組織的運(yùn)營中斷傾負(fù)責(zé)生態(tài)系統(tǒng)戰(zhàn)略的高級管理人員（CEO、總裁、首席向或軟件供應(yīng)鏈實踐的綜合影響。戰(zhàn)略官、首席運(yùn)營官、總經(jīng)理）、CISO、CIO、CTO、首席供應(yīng)鏈官、首席風(fēng)險官、首席采購官，以及信息安全職能部門、信息技術(shù)職能部門和供應(yīng)鏈職能部門的高級管理人員（副總裁或以上）。在估算”的各個風(fēng)險因素的相對財務(wù)影響。組織因多個風(fēng)險因素而面臨的財務(wù)風(fēng)險暴露是通過以下計算方法得出的：將各個風(fēng)險因素相加，然后根據(jù)組織的總收入估算財務(wù)影響?！捌骄惫浪阌趯儆谥付ㄊ杖胨姆治粩?shù)分布范圍的組織的平均值?！暗汀惫浪愫吞烊粴猓?、電子產(chǎn)品、工業(yè)產(chǎn)品、消費(fèi)品、能源有最小財務(wù)影響的各個風(fēng)險因素的組合?！案摺惫浪憬M織面臨的收入風(fēng)險時，計算依據(jù)是歸類為“嚴(yán)重受訪者來自

31個國家的

16個行業(yè)：銀行業(yè)、公共部門、值基汽車業(yè)（OEM和供應(yīng)商）、化工和石油業(yè)（包括石油值是具和公用事業(yè)、金融市場、醫(yī)療保健（服務(wù)提供者和支付方）、值是具有最大財務(wù)影響的各個風(fēng)險因素的組合。保險業(yè)、生命科學(xué)

/制藥、電信、零售業(yè)、交通運(yùn)輸業(yè)和旅游業(yè)。27備注和參考資料12Overby,Stephanie.“Cybercrime-as-a-Service:11“VehicleManufacturersNeedtoKnowWhat’sInsideTheirSupplier’sCode.”Argus.February27,2022./blog/cyber-security-blog/vehicle-manufacturers-need-to-know-whats-inside-their-suppliers-code/CommoditizationFuelsThreatSurge.”Mimecast.April18,2022./blog/cybercrime-as-a-service-commoditization-fuels-threat-surge/“WideningDisparitiesandGrowingThreatsCloudGlobalCybersecurityOutlookfor2024.”WorldEconomicForumnewsrelease.January11,2024./press/2024/01/wef24-global-cybersecurity-outlook-2024/12Fisher,LisaandGeraldParham.AIandautomationforcybersecurity:Howleaderssucceedbyunitingtechnologyandtalent.IBMInstituteforBusinessValue.May2022.https://ibm.co/ai-cybersecurity34Mills,KarenG.,ElisabethB.Reynolds,andMorganeHerculano.“SmallBusinessesPlayaBigRoleinSupply-ChainResilience.”HarvardBusinessReview.December6,2022./2022/12/small-businesses-play-a-big-role-in-supply-chain-resilience13Rajasekharan,Mahesh.“NeedAStrategyForDrivingSupplyChainConvergence?ThinkEcosystem-First.”Forbes.August29,2023./sites/forbestechcouncil/2023/08/29/need-a-strategy-for-driving-supply-chain-convergence-think-ecosystem-first/?sh=6f1aa4075407CloseEncountersoftheThird(andFourth)PartyKind.SecurityScorecardandCyentiaInstitute.February2023./wp-content/uploads/2024/01/Research-Close-Encounters-Of-The-Third-And-Fourth-Party-Kind.pdf14CEO’sguidetogenerativeAI:Cybersecurity.IBMInstituteforBusinessValue.October2023.https://ibm.co/ceo-generative-ai-cybersecurity15Warren,Tom.“MicrosoftandOpenAIsayhackersareusingChatGPTtoimprovecyberattacks.”TheVerge.February14,2024.https://www.theverge.com/2024/2/14/24072706/microsoft-openai-cyberattack-tools-ai-chatgpt56CostofaDataBreachReport2023.IBMSecurityandthePonemonInstitute.July2023.https:///reports/data-breach“Whatisasupplychain?”TechTarget.AccessedMay6,2024./whatis/definition/supply-chain;“Whatissoftwaresupplychainsecurity?”RedHat.AccessedMay6,2024.https://www.redhat.com/en/topics/security/what-is-software-supply-chain-security16“AcodingboostfromAI.”McKinsey.July21,2023./featured-insights/sustainable-inclusive-growth/chart-of-the-day/a-coding-boost-from-ai78“WideningDisparitiesandGrowingThreatsCloudGlobalCybersecurityOutlookfor2024.”WorldEconomicForumnewsrelease.January11,2024./press/2024/01/wef24-global-cybersecurity-outlook-2024/17X-ForceThreatIntelligenceIndex2024.IBMSecurity.February2024./reports/threat-intelligence/reports/threat-intelligence18RiskN:TheEraofExponentialRisk.Moody’s.2023./web/en/us/insights/exponential-risk.html“ShiftingtheBalanceofCybersecurityRisk:PrinciplesandApproachesforSecurity-by-Designand-Default.”CybersecurityandInfrastructureSecurityAgency.April13,2023./sites/19Ibid.20Karimi,Kaivan.“Thesecurityculturaltransformationoftheautomotiveindustry.”Microsoftblog.October31,2023./en-us/industry/blog/manufacturing-and-mobility/automotive/2023/10/31/the-security-cultural-transformation-of-the-automotive-industry/default/files/2023-04/pr