IBV-全維度供應(yīng)鏈數(shù)字化-軟件定義未來(lái)的網(wǎng)絡(luò)安全-2024.08-32正式版

IBM商研究院

|研究洞業(yè)價(jià)值察全維度供應(yīng)鏈數(shù)字化軟件定義未來(lái)的網(wǎng)絡(luò)安全關(guān)于微軟與

IBM的合作伙伴關(guān)系微軟和

IBM建立了戰(zhàn)略合作伙伴關(guān)系，旨在幫助組織實(shí)現(xiàn)全面解決方案，讓組織滿懷信心地在微軟云上加速遷移、現(xiàn)代化和業(yè)務(wù)轉(zhuǎn)型。的企業(yè)級(jí)威脅管理。我們提供相互協(xié)同的安全I(xiàn)BM提供全面安全資源的戰(zhàn)略與風(fēng)險(xiǎn)咨詢、保護(hù)和實(shí)現(xiàn)數(shù)字信任的解決方案、威脅管理功能的實(shí)施和運(yùn)營(yíng)，以及利用現(xiàn)有資推動(dòng)安全轉(zhuǎn)型的開(kāi)放式多云解決方案。如需了解更多的云安全產(chǎn)品組合，包括用于協(xié)同和優(yōu)化源信息，請(qǐng)?jiān)L問(wèn)：/msftsecurityIBM如何提供幫助IBMSecurity?是合

AI的技術(shù)和服務(wù)，滿足不斷發(fā)展的業(yè)務(wù)需求。我們值得信賴的合作伙伴，可為您提供融的現(xiàn)代化安全戰(zhàn)略方法讓您能夠充分利用數(shù)字創(chuàng)新，并在充滿不確定性和網(wǎng)絡(luò)威脅的環(huán)境中蓬勃發(fā)展。如需了解更多信息，請(qǐng)?jiān)L問(wèn)：/security摘要安全的數(shù)字

供應(yīng)鏈對(duì)于保障物理供應(yīng)網(wǎng)絡(luò)風(fēng)險(xiǎn)和供應(yīng)鏈風(fēng)險(xiǎn)日趨融合。鏈安全至關(guān)重要。物理操作日益依賴于數(shù)字控制。在選擇供應(yīng)商時(shí)，高管往往更注重

成本，而忽視高成本的風(fēng)險(xiǎn)因素。直接

和間接供應(yīng)商通常未將常規(guī)的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理實(shí)施到位。AI可以更好地整合網(wǎng)絡(luò)和供應(yīng)鏈運(yùn)營(yíng)，從而增強(qiáng)運(yùn)營(yíng)韌性。組織可以利用先進(jìn)技術(shù)來(lái)改善協(xié)作并降低供應(yīng)商風(fēng)險(xiǎn)。1駕馭新風(fēng)險(xiǎn)時(shí)代過(guò)去，供應(yīng)鏈主要的核心作用日益增強(qiáng)，不僅大幅提升了效率，也引入了新的、經(jīng)常被低估的風(fēng)險(xiǎn)。盡管企業(yè)紛紛開(kāi)始著力增強(qiáng)供應(yīng)鏈韌性，但仍有許多企業(yè)的供應(yīng)鏈網(wǎng)絡(luò)暴露在網(wǎng)絡(luò)風(fēng)險(xiǎn)中。是指物理供應(yīng)鏈。而如今，隨著數(shù)字技術(shù)在供應(yīng)鏈中隨著暗網(wǎng)網(wǎng)絡(luò)犯罪市場(chǎng)日趨成熟，網(wǎng)絡(luò)攻擊者在蓬勃發(fā)展的“網(wǎng)絡(luò)犯罪即服務(wù)”生態(tài)系1統(tǒng)中共享資源，這使得惡意人員更容易針對(duì)供應(yīng)鏈中的薄弱環(huán)節(jié)發(fā)起攻擊。

他們通常會(huì)2針對(duì)資源較少、漏洞較多的細(xì)分供應(yīng)商進(jìn)行攻擊。

換句話說(shuō)，大型供應(yīng)鏈網(wǎng)絡(luò)中的大多3數(shù)公司都可能成為攻擊目標(biāo)。數(shù)以百計(jì)甚至數(shù)以千計(jì)的第三方直接或間接互聯(lián)，提供了通向關(guān)鍵系統(tǒng)的無(wú)數(shù)路徑。一項(xiàng)4研究表明，在過(guò)去兩年中，98%的受訪組織至少有一家供應(yīng)商遭遇過(guò)數(shù)據(jù)泄露。

另一項(xiàng)5研究表明，來(lái)自業(yè)務(wù)合作伙伴的數(shù)據(jù)泄露成本要比其他類型的數(shù)據(jù)泄露高出近12%。為了深入理解網(wǎng)絡(luò)安全因素如何影響價(jià)值研究院

(IBMIBV)與微軟合作，針對(duì)全球各行業(yè)的

2,000名安全和運(yùn)營(yíng)主管開(kāi)展了一項(xiàng)調(diào)研（請(qǐng)參閱第

26頁(yè)的“研究和分析方法”）。調(diào)研結(jié)果表明，高管對(duì)供應(yīng)商的認(rèn)識(shí)令人擔(dān)憂。盡管

74%的受訪者表示供應(yīng)鏈韌性對(duì)于其組織的成功至關(guān)重，但只有

40%的受訪者認(rèn)為生態(tài)系統(tǒng)正在擴(kuò)大網(wǎng)絡(luò)攻擊面鏈、供應(yīng)鏈和生態(tài)系統(tǒng)的發(fā)展，IBM商業(yè)價(jià)值風(fēng)險(xiǎn)和網(wǎng)絡(luò)漏洞要。而且，只有不到三分之一的受訪組織正在通過(guò)優(yōu)先的投資計(jì)劃來(lái)建立安全、互聯(lián)的供應(yīng)鏈運(yùn)營(yíng)生態(tài)系統(tǒng)。2一部分組織認(rèn)為網(wǎng)絡(luò)風(fēng)險(xiǎn)與供應(yīng)鏈風(fēng)險(xiǎn)的管理是相互依存的，這部分觀點(diǎn)組織遭遇的供應(yīng)鏈中斷明顯減少。首要問(wèn)題：6什么是“供應(yīng)鏈”？根據(jù)

IBM商、活動(dòng)和技術(shù)

/IT系統(tǒng)組成的網(wǎng)絡(luò)。供應(yīng)鏈涵蓋業(yè)價(jià)值研究院的調(diào)研，一部分組織認(rèn)為網(wǎng)

供應(yīng)鏈?zhǔn)侵府a(chǎn)品開(kāi)發(fā)和銷售流程中的相關(guān)個(gè)人、組織、絡(luò)風(fēng)險(xiǎn)與供應(yīng)鏈風(fēng)險(xiǎn)的管理是相互依存的，而這部分組織遭遇的供應(yīng)鏈中斷明顯較少。然而，由于分散的決策和薄弱的網(wǎng)絡(luò)安全實(shí)踐加劇了負(fù)面因素，許多組織都難以洞悉潛在威脅及其對(duì)運(yùn)營(yíng)的影響。軟件供應(yīng)鏈則涵蓋

軟件開(kāi)發(fā)生命周

期中接觸代碼的所有要素和所有人員，包括組件相關(guān)信息（如基礎(chǔ)架構(gòu)、資源供應(yīng)商向制造商供應(yīng)原材料到產(chǎn)品最終交付給最終用戶的整個(gè)過(guò)程。從本報(bào)告探討了在調(diào)研中發(fā)現(xiàn)的三項(xiàng)關(guān)鍵網(wǎng)絡(luò)風(fēng)險(xiǎn)管理挑戰(zhàn)。針對(duì)每一項(xiàng)挑戰(zhàn)，我們提出了相應(yīng)的機(jī)遇，即如何通過(guò)克服挑戰(zhàn)來(lái)增強(qiáng)供應(yīng)鏈韌性。每個(gè)部分還附有簡(jiǎn)

明的行動(dòng)方案，企業(yè)高管可以采取這些具體步驟，更有效地在其組織和生態(tài)系統(tǒng)中整合網(wǎng)絡(luò)風(fēng)險(xiǎn)和供應(yīng)鏈風(fēng)險(xiǎn)管理。硬件、操作系統(tǒng)、云服務(wù)）、代碼編寫人員以及代碼的來(lái)源，如注冊(cè)表、GitHub存儲(chǔ)庫(kù)、代碼庫(kù)或其他開(kāi)源項(xiàng)目。其中還包括可能對(duì)軟件安全產(chǎn)生負(fù)面影響的任何漏洞。挑戰(zhàn)一：規(guī)模龐大數(shù)字供應(yīng)鏈運(yùn)營(yíng)和風(fēng)險(xiǎn)迅速激增供應(yīng)商根據(jù)所有行業(yè)受訪高管的數(shù)據(jù)，每家組織平均擁有

1,284家直數(shù)量會(huì)大幅增加（見(jiàn)圖

1）。近一半

(48%)的受訪者估計(jì)，間數(shù)量的五倍，即

6,420家。這些直―

相當(dāng)于至少有

7,700個(gè)潛在威脅向量可能進(jìn)入組織。網(wǎng)絡(luò)正在迅速擴(kuò)展。本調(diào)研表明，受訪組織擁有龐大的直接和間接供應(yīng)商網(wǎng)絡(luò)。接供應(yīng)商。而如果計(jì)入間接供應(yīng)商，則第三方供應(yīng)商接供應(yīng)商數(shù)量是直接供應(yīng)商接和間接供應(yīng)商共同構(gòu)成了一個(gè)龐大的攻擊面圖

1不斷擴(kuò)大的供應(yīng)商網(wǎng)絡(luò)帶來(lái)了龐大的攻擊面，為入侵關(guān)鍵基礎(chǔ)架構(gòu)和運(yùn)營(yíng)提供了許多切入點(diǎn)。直接+間接供應(yīng)商總數(shù)等于20倍間接供應(yīng)商數(shù)量等于26,964直接供應(yīng)商數(shù)量（3%的受訪者）10倍直接供應(yīng)商數(shù)量14,124（17%的受訪者）5倍1倍7,704直接供應(yīng)商數(shù)量（48%的受訪者）直接供應(yīng)商數(shù)量2,568（32%的受訪者）1,284直接供應(yīng)商數(shù)量平均值問(wèn)：有多少直接供應(yīng)商為貴組織的關(guān)鍵供應(yīng)鏈提供支持？問(wèn)：估計(jì)有多少間為貴組織的直接供應(yīng)商提供支持？接（第

n方）供應(yīng)商4供應(yīng)商困難，甚至不可能，更不用說(shuō)協(xié)同有效的應(yīng)對(duì)措施了。

力。在過(guò)去三年中，針對(duì)各行業(yè)受訪者調(diào)研的主要發(fā)現(xiàn)這將對(duì)運(yùn)營(yíng)產(chǎn)生巨大的影響。與供應(yīng)商數(shù)量最少的組織

包括：相比，供應(yīng)商數(shù)量最多的組織遇到的嚴(yán)重

運(yùn)營(yíng)影響事件多出

17%。這項(xiàng)分析考慮了多項(xiàng)因素的影響，包括網(wǎng)網(wǎng)絡(luò)如此龐大，使得組織預(yù)測(cè)潛在中斷變得非常這一現(xiàn)狀給供應(yīng)鏈應(yīng)用和服務(wù)的安全性帶來(lái)了巨大的壓–40%的受訪者表示其組織遭遇過(guò)需要近采取非常措要施來(lái)應(yīng)對(duì)的網(wǎng)絡(luò)安全事件，或?qū)\(yùn)營(yíng)產(chǎn)生持久而實(shí)質(zhì)絡(luò)事件、人才和原材料短缺以及極端天氣事件（參見(jiàn)第20頁(yè)的分析）。性影響的網(wǎng)絡(luò)安全事件。–(52%)IT應(yīng)超過(guò)一半的受訪者表示其組織的供應(yīng)鏈?zhǔn)聦?shí)上，在高度互聯(lián)的供應(yīng)鏈環(huán)境中，網(wǎng)絡(luò)事件往往會(huì)成為引發(fā)嚴(yán)重

中斷的導(dǎo)火索。盡管本調(diào)研表明，受訪用和服務(wù)曾遭遇重

大或嚴(yán)重

中斷。–

IT者并未遭受過(guò)通過(guò)供應(yīng)商與其他職能領(lǐng)域相比，

應(yīng)用和服務(wù)中斷對(duì)運(yùn)營(yíng)產(chǎn)發(fā)起的大規(guī)模網(wǎng)絡(luò)攻擊，但30%的受訪者表示在過(guò)去三年中因第三方漏洞而遭受生的影響更為顯著。過(guò)攻擊。最近的一份報(bào)告表明，這一問(wèn)題正變得日益普展望未來(lái)，65%的受訪者認(rèn)為供應(yīng)鏈中斷可能發(fā)生在遍：41%的受訪組織表示遭受過(guò)由第三方導(dǎo)致的重大7組織的IT基礎(chǔ)架構(gòu)中，另有

53%的受訪者認(rèn)為供應(yīng)鏈網(wǎng)絡(luò)事件。中斷可能發(fā)生在組織的

IT應(yīng)用和服務(wù)中（見(jiàn)圖

2）。圖

2IT相關(guān)職能是供應(yīng)鏈中斷最有可能發(fā)生且受影響最嚴(yán)重的領(lǐng)域。組織百分比供應(yīng)鏈中斷產(chǎn)生巨大影響50%IT應(yīng)用和服務(wù)40%30%運(yùn)輸尋源需求規(guī)劃分發(fā)庫(kù)存管理IT基礎(chǔ)架構(gòu)采購(gòu)20%10%制造訂單管理10%20%30%40%50%60%70%組織百分比中斷可能性很高問(wèn)：供應(yīng)鏈中斷最有可能發(fā)生在哪里？回答“可能”和“極有可能”的受訪者百分比。問(wèn)：哪些職能領(lǐng)域最容易受到供應(yīng)鏈中斷的影響？回答“影響中等”和“影響重

大”的受訪者百分比。5機(jī)遇：利用“安全設(shè)計(jì)”方法增強(qiáng)網(wǎng)絡(luò)和供應(yīng)鏈韌性。鑒于廣泛的業(yè)務(wù)合作伙伴關(guān)系，組織需要采用一種新方網(wǎng)絡(luò)風(fēng)險(xiǎn)管理法來(lái)保障供應(yīng)鏈安全，即認(rèn)識(shí)到內(nèi)部和外部

IT平臺(tái)與服務(wù)之間的共同功能。許多供應(yīng)鏈輸入和輸出都是使用通用基礎(chǔ)架構(gòu)來(lái)實(shí)現(xiàn)和交付的，這為組織帶來(lái)了優(yōu)勢(shì)。如果將網(wǎng)絡(luò)風(fēng)險(xiǎn)和供應(yīng)鏈風(fēng)險(xiǎn)管理視為相互關(guān)聯(lián)的關(guān)系，則這兩個(gè)維度的能力都會(huì)變得更加強(qiáng)大。這就像是性會(huì)相互增強(qiáng)。兩者凝聚為一股合力，可改善效率、協(xié)和價(jià)值創(chuàng)造；但同時(shí)也代表了兩種相互依賴且并行發(fā)展的能力。提高可視性和治理能力對(duì)于組織內(nèi)部，乃至整個(gè)供應(yīng)鏈和合作伙伴生態(tài)系統(tǒng)都至關(guān)重一種

DNA雙螺旋結(jié)構(gòu)，網(wǎng)絡(luò)韌性和供應(yīng)鏈韌同要。從更實(shí)際的層面一種貫穿整個(gè)供應(yīng)鏈的文化，從初始設(shè)計(jì)、采購(gòu)材料、供應(yīng)商、分銷到產(chǎn)品生命周

期結(jié)束，網(wǎng)絡(luò)風(fēng)險(xiǎn)管理、安全和韌性均處于重

地位。作為第一步，供應(yīng)鏈和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者可以效仿軟件和硬件開(kāi)發(fā)社區(qū)的做法，采用“安全設(shè)計(jì)”原則，也稱為“左移”。來(lái)說(shuō)，這種程度的整合是什么樣的？這是要這種方法將安全置于決策的最前沿，而不是事后再“亡8羊補(bǔ)牢”。

通過(guò)將“安全設(shè)計(jì)”應(yīng)用于供應(yīng)鏈的每一個(gè)階段，可推動(dòng)運(yùn)營(yíng)各方優(yōu)先加強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理和協(xié)同治理實(shí)踐。這有助于促進(jìn)各職能部門以及整個(gè)合作伙伴生態(tài)系統(tǒng)的協(xié)作。這帶來(lái)了諸多優(yōu)勢(shì)，例如能夠盡早發(fā)現(xiàn)潛在漏洞、分享最佳實(shí)踐，以及有助于協(xié)同應(yīng)對(duì)威脅（參見(jiàn)第

8頁(yè)的案例研究：“汽車制造商采用全新的安供應(yīng)鏈風(fēng)險(xiǎn)管理全優(yōu)先思維”）。6運(yùn)營(yíng)和業(yè)務(wù)成效。根據(jù)

IBM商這種方法有助于改善業(yè)行動(dòng)：采用“安全設(shè)計(jì)”方法優(yōu)先價(jià)值研究院的分析，在網(wǎng)絡(luò)風(fēng)險(xiǎn)和供應(yīng)鏈風(fēng)險(xiǎn)管理領(lǐng)域具有更高成熟度的組織實(shí)現(xiàn)了更出眾的安全投資回報(bào)率增強(qiáng)供應(yīng)鏈運(yùn)營(yíng)的安全性。（見(jiàn)圖

3）。這兩個(gè)維度的成熟度相互強(qiáng)化。與表示受1.組建一個(gè)跨職能的供應(yīng)鏈風(fēng)險(xiǎn)管理團(tuán)隊(duì)，包括

IT、到類似網(wǎng)絡(luò)安全事件嚴(yán)重

影響的其他組織相比，此類組少

89%。

OT和產(chǎn)品安全專家，負(fù)責(zé)審查當(dāng)前的供應(yīng)鏈流程和織在過(guò)去三年中遭遇的網(wǎng)絡(luò)事件要系統(tǒng)。2.編寫一份供應(yīng)商名單，并按關(guān)鍵性和風(fēng)險(xiǎn)暴露進(jìn)行細(xì)分。安排團(tuán)隊(duì)識(shí)別所有潛在的薄弱環(huán)節(jié)，涵蓋

從供應(yīng)商采購(gòu)、物流到軟件分銷渠道的整個(gè)周

期。3.然后，讓團(tuán)隊(duì)合作設(shè)計(jì)和整合安全控制措施，以緩解已識(shí)別的風(fēng)險(xiǎn)。圖

3平均安全投資回報(bào)率

(ROSI)更成功地整合網(wǎng)絡(luò)風(fēng)險(xiǎn)和供應(yīng)鏈風(fēng)險(xiǎn)管理的組織實(shí)現(xiàn)了更高的安全投資回報(bào)率。高71%ROSI增幅網(wǎng)絡(luò)風(fēng)險(xiǎn)管理成熟度低低高供應(yīng)鏈風(fēng)險(xiǎn)管理成熟度基于

IBMIBV分析。7案例研究汽車制造商采用全新的9安全優(yōu)先思維隨著汽車日益依賴于軟件，網(wǎng)絡(luò)安全對(duì)于保障汽車安全至關(guān)重要?，F(xiàn)代汽車包含超過(guò)

1.5億行代碼，自然也就增加了網(wǎng)絡(luò)攻擊的幾率。為了應(yīng)對(duì)這些威脅，各種新的法規(guī)不斷出臺(tái)，包括聯(lián)合國(guó)歐洲經(jīng)濟(jì)委員會(huì)

(UNECE)發(fā)布的

WP.29法規(guī)和

ISO/SAE21434標(biāo)準(zhǔn)，旨在管理整個(gè)產(chǎn)品生命周

期中10的軟件網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。一家全球汽車制造商意識(shí)到，要電動(dòng)化和拓展智能互聯(lián)汽車用戶實(shí)現(xiàn)全面群的宏大目標(biāo)，網(wǎng)絡(luò)安全將發(fā)揮至關(guān)重網(wǎng)絡(luò)安全成熟度已勢(shì)在必行?針對(duì)關(guān)鍵

IT資產(chǎn)樣本的風(fēng)險(xiǎn)量化評(píng)估表明，預(yù)計(jì)年損失超過(guò)

10億美元，這一驚要的作用。該公司還發(fā)現(xiàn)加速提高人的金額可能會(huì)威脅到未來(lái)的運(yùn)營(yíng)和品牌形象?；A(chǔ)架構(gòu)和服務(wù)的長(zhǎng)期投資，該公司與

IBM合作于對(duì)

MicrosoftAzure基開(kāi)啟了重

塑網(wǎng)絡(luò)安全性旅程?從手動(dòng)、被動(dòng)的安全態(tài)勢(shì)轉(zhuǎn)變?yōu)橹鲃?dòng)預(yù)測(cè)可能發(fā)生的事件。該流程采用一種全面能并整合安全控制，從制造

/OT和企業(yè)

/IT，到合理化互聯(lián)產(chǎn)品到企業(yè)的招聘和培訓(xùn)實(shí)踐。對(duì)于這家

OEM來(lái)說(shuō)，這相當(dāng)于一種全新的思維的“安全設(shè)計(jì)”方法，在整個(gè)運(yùn)營(yíng)流程中嵌入安全功供應(yīng)商，再方式。該公司不是與后端服務(wù)、供應(yīng)商生態(tài)系統(tǒng)與工廠車間的基本要素，包括為其代碼庫(kù)做出貢獻(xiàn)的軟件供應(yīng)商。

轉(zhuǎn)型路線圖預(yù)計(jì)會(huì)在未來(lái)三年內(nèi)將風(fēng)險(xiǎn)減少一半。在安全漏洞出現(xiàn)后才去修補(bǔ)，而是將安全作為連接車隊(duì)11全面的“安全設(shè)計(jì)”方法在整個(gè)運(yùn)營(yíng)流程中嵌入安全功能和控制?從制造

/OT和企業(yè)

/IT，到合理化互聯(lián)產(chǎn)品供應(yīng)商，再到員工招聘和培訓(xùn)實(shí)踐。8挑戰(zhàn)二：管理分散分散管理網(wǎng)絡(luò)風(fēng)險(xiǎn)和供應(yīng)鏈風(fēng)險(xiǎn)的后果大多數(shù)組織的風(fēng)險(xiǎn)管理都處于一種各自為戰(zhàn)的分散狀態(tài)。不過(guò)，重

大風(fēng)險(xiǎn)通常具有跨職能的性質(zhì)，因此不會(huì)遵循組織邊界，尤其是理供應(yīng)鏈和數(shù)字供應(yīng)鏈都對(duì)收入有巨大的貢獻(xiàn)（見(jiàn)圖

4），但組織缺乏將兩者風(fēng)險(xiǎn)責(zé)任聯(lián)系在一起的整體視圖。70%的受訪高管表示，物理風(fēng)險(xiǎn)和網(wǎng)絡(luò)風(fēng)險(xiǎn)由組織的不同管理物理和數(shù)字供應(yīng)鏈的組織邊界。盡管物部門管理，因此可能會(huì)忽視或低估物理和數(shù)字威脅向量的共同風(fēng)險(xiǎn)。圖

4供應(yīng)鏈大部分已經(jīng)實(shí)現(xiàn)數(shù)字化。組織收入百分比35%34%30%通過(guò)物理供應(yīng)鏈通過(guò)結(jié)合兩者通過(guò)數(shù)字供應(yīng)鏈數(shù)字供應(yīng)鏈占組織收入的近

2/3問(wèn)：估計(jì)貴組織的收入通過(guò)以下方式實(shí)現(xiàn)和達(dá)成的比例：通過(guò)物理供應(yīng)鏈、通過(guò)數(shù)字供應(yīng)鏈以及通過(guò)兩者的組合。2023年。由于四舍五入，百分比總數(shù)不等于

100%。9機(jī)遇：利用AI和自動(dòng)化改善內(nèi)部可從更具體的層面來(lái)看，物理和數(shù)字風(fēng)險(xiǎn)以及整個(gè)物理和誰(shuí)？根據(jù)

IBM商5）。并數(shù)字供應(yīng)鏈的負(fù)責(zé)人員是業(yè)價(jià)值研究視性和協(xié)同能力，從而推動(dòng)外部成效。院的調(diào)研，這些職責(zé)分散在高管團(tuán)隊(duì)中（見(jiàn)圖沒(méi)有一位高管能夠全面掌控所有潛在風(fēng)險(xiǎn)。職位名稱可通過(guò)適當(dāng)?shù)闹卫?，?shù)字價(jià)值鏈可以提高可見(jiàn)性并推動(dòng)能因公司規(guī)模和組織結(jié)構(gòu)而異，但如果風(fēng)險(xiǎn)管理和供應(yīng)有效協(xié)同，從而超越組織內(nèi)的職能邊界并增強(qiáng)整個(gè)供鏈運(yùn)營(yíng)由傳統(tǒng)職能部門來(lái)組織，則整個(gè)企業(yè)的協(xié)同就會(huì)應(yīng)商體系的能力。依托于云服務(wù)、物聯(lián)網(wǎng)和

AI等技術(shù)，很困難。對(duì)于難以與生態(tài)合作伙伴保持同互聯(lián)互通的供應(yīng)商體系可促進(jìn)實(shí)時(shí)通信、協(xié)作、治理這是一項(xiàng)更為嚴(yán)峻的挑戰(zhàn)。對(duì)于許多組織來(lái)說(shuō)，不同和數(shù)據(jù)共享。這些關(guān)鍵能力將推動(dòng)整個(gè)供應(yīng)鏈和生態(tài)門之間系統(tǒng)合作伙伴進(jìn)行有效協(xié)同，從而大幅提升生產(chǎn)效率步的組織來(lái)說(shuō)，部往往缺乏溝通

―

這為安全和供應(yīng)鏈領(lǐng)導(dǎo)者帶來(lái)了一項(xiàng)重

大挑戰(zhàn)。和規(guī)模。圖

5風(fēng)險(xiǎn)和供應(yīng)鏈職責(zé)分散在高管團(tuán)隊(duì)中，因此難以建立涵蓋物理和數(shù)字領(lǐng)域的整體視圖。各領(lǐng)域主要負(fù)責(zé)人的領(lǐng)導(dǎo)職位CEOCDOCIOCOOCISOCROCTOCSCO物理風(fēng)險(xiǎn)數(shù)字物理供應(yīng)鏈數(shù)字0-10%11-20%21-30%31-40%41-50%51-60%問(wèn)：請(qǐng)指出負(fù)責(zé)物理風(fēng)險(xiǎn)、數(shù)字風(fēng)險(xiǎn)、物理供應(yīng)鏈、數(shù)字供應(yīng)鏈的最高級(jí)管理人員。10大多數(shù)

(84%)受訪組織表示在構(gòu)建安全互聯(lián)生態(tài)系統(tǒng)方面御能力（見(jiàn)圖

6）。資中，AI位于優(yōu)先級(jí)列表的榜首（請(qǐng)參閱第

15頁(yè)的“觀進(jìn)行了中等程度到重

大程度的投資；事實(shí)上，這些組織側(cè)重

于利用先進(jìn)技術(shù)來(lái)改善供應(yīng)鏈和網(wǎng)絡(luò)防在增強(qiáng)供應(yīng)鏈韌性的安全和運(yùn)營(yíng)投點(diǎn)：生成式

AI助力保障生態(tài)系統(tǒng)安全”）。圖

6企業(yè)高管正在優(yōu)先采用先進(jìn)技術(shù)來(lái)增強(qiáng)運(yùn)營(yíng)韌性，從而改善協(xié)作。最主要的

最主要的網(wǎng)絡(luò)安全投資

供應(yīng)鏈韌性投資54%

AI運(yùn)營(yíng)和數(shù)據(jù)集成安全

AI和自動(dòng)化

53%威脅檢測(cè)和事件響應(yīng)

52%48%

托管服務(wù)提供商監(jiān)管合規(guī)性

50%43%

IT架構(gòu)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理

48%38%

IT/IS協(xié)同與治理安全分析/遙測(cè)

44%38%

變革型軟件解決方案30%

供應(yīng)商采購(gòu)實(shí)踐網(wǎng)絡(luò)人才

42%28%

基礎(chǔ)架構(gòu)平臺(tái)和服務(wù)數(shù)據(jù)安全、加密、完整性、治理

37%24%

業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)合作伙伴整合和生態(tài)系統(tǒng)級(jí)別安全

10%問(wèn)：貴組織在增強(qiáng)供應(yīng)鏈韌性方面最優(yōu)先的網(wǎng)絡(luò)投資是什么？問(wèn)：貴組織在增強(qiáng)供應(yīng)鏈韌性方面最優(yōu)先的投資是什么？11超過(guò)一半

(54%)的受訪組織表示正在運(yùn)營(yíng)中利用

AI和數(shù)據(jù)集成，從而提高整個(gè)供應(yīng)鏈的效率、可預(yù)測(cè)性和響應(yīng)能力。受訪高管還表示正在專注于構(gòu)建更加現(xiàn)代化、但組織需要不僅僅是資新技術(shù)?，F(xiàn)代運(yùn)營(yíng)模式的真正考驗(yàn)在于如何無(wú)縫擴(kuò)展能力，以覆蓋

整個(gè)供應(yīng)商更多地關(guān)注更新其運(yùn)營(yíng)治理和支持實(shí)踐，而投體系并延伸到生態(tài)可擴(kuò)展且可靠的

IT基(48%)和

IT架構(gòu)

(43%)。云平臺(tái)構(gòu)建于標(biāo)準(zhǔn)13礎(chǔ)架構(gòu)，相關(guān)的投資包括托管服系統(tǒng)環(huán)境中。

運(yùn)用責(zé)任共擔(dān)模式來(lái)管理供應(yīng)鏈安全有務(wù)提供商助于每個(gè)供應(yīng)鏈參與者為維護(hù)整體安全態(tài)勢(shì)的完整性和設(shè)計(jì)模式和通用治理框架之上，因此有助于增強(qiáng)洞察、

安全性做出貢獻(xiàn)?從價(jià)值鏈、供應(yīng)鏈到合作伙伴生態(tài)協(xié)作和自動(dòng)化。系統(tǒng)（見(jiàn)圖

7）。這樣一來(lái)，供應(yīng)商體系就成為了更強(qiáng)韌性的來(lái)源，而不是更大的風(fēng)險(xiǎn)。在網(wǎng)絡(luò)安全投資方面，安全

AI和自動(dòng)化

(53%)位居第一，其次是威脅檢測(cè)和事件響應(yīng)

(52%)。借助

AI賦能

這個(gè)方向砥礪前行：58%的受訪高企業(yè)領(lǐng)導(dǎo)者正朝著的自動(dòng)化，組織可以建立更具預(yù)防性和主動(dòng)性的安全態(tài)

管認(rèn)為價(jià)值鏈、供應(yīng)鏈和生態(tài)系統(tǒng)是相互關(guān)聯(lián)的。受訪12AI70%勢(shì)，同時(shí)改善洞而

賦

者還認(rèn)識(shí)到讓合作伙伴參與風(fēng)險(xiǎn)管理的重要性：察力、生產(chǎn)力和規(guī)模經(jīng)濟(jì)。能的運(yùn)營(yíng)則有助于推動(dòng)建設(shè)安全運(yùn)營(yíng)中心

(SOC)，并借的受訪高管表示，通過(guò)將合作伙伴整合到自身的風(fēng)險(xiǎn)和治理模型中，其組織增強(qiáng)了供應(yīng)鏈韌性。助合作伙伴逐漸實(shí)現(xiàn)虛擬安全運(yùn)營(yíng)中心?，F(xiàn)代運(yùn)營(yíng)模式的真正考驗(yàn)在于如何無(wú)縫擴(kuò)展能力，以覆蓋整個(gè)供應(yīng)商體系并延伸到生態(tài)系統(tǒng)環(huán)境中。12圖

7價(jià)值鏈、供應(yīng)鏈和生態(tài)系統(tǒng)正在并行發(fā)展。價(jià)值鏈+生態(tài)系統(tǒng)+供應(yīng)鏈x1x10x100規(guī)模重點(diǎn)價(jià)值創(chuàng)造和效率

協(xié)同和履行

擴(kuò)展能力和編排輸入

/輸出已知且通常不變高容量、專用、定制動(dòng)態(tài)；可按需擴(kuò)展直接線性；通過(guò)有序組織來(lái)最大單向；供應(yīng)商向客戶提供產(chǎn)品或

多向；標(biāo)準(zhǔn)化模式和治理意化增值活動(dòng)

服務(wù)

味著中間方可以增加價(jià)值設(shè)計(jì)獨(dú)立但模塊化單邊；一方對(duì)一方，通常通過(guò)中多邊；針對(duì)復(fù)雜的供應(yīng)商關(guān)間方

系進(jìn)行優(yōu)化方向速度、消除摩擦和浪費(fèi)

容量和韌性

通過(guò)標(biāo)準(zhǔn)和治理來(lái)改進(jìn)效率和態(tài)勢(shì)管理風(fēng)險(xiǎn)遏制和緩解風(fēng)險(xiǎn)以防止破壞

轉(zhuǎn)移風(fēng)險(xiǎn)；供應(yīng)商承擔(dān)不確定性，

風(fēng)險(xiǎn)共擔(dān)；盡可能分散不確價(jià)值但買方承擔(dān)影響

定性和影響13行動(dòng)：加強(qiáng)組織內(nèi)部以及與供應(yīng)商共同承擔(dān)供應(yīng)鏈安全責(zé)任的模式。1.召集高管團(tuán)隊(duì)共同韌性。定義標(biāo)準(zhǔn)并設(shè)定協(xié)同、溝通和治理的期望。2.組建團(tuán)隊(duì)并指定流程負(fù)責(zé)人來(lái)調(diào)查在組織內(nèi)和重義標(biāo)準(zhǔn)、政策和相關(guān)控制措施來(lái)維持強(qiáng)大的安全態(tài)勢(shì)，詳細(xì)明確利益相關(guān)者、流程負(fù)責(zé)人、供應(yīng)商和合作伙伴的期望。確定應(yīng)如何管理這些職責(zé)，以及如何將疏忽轉(zhuǎn)變?yōu)楦倪M(jìn)的來(lái)源明確期望，并分配資源來(lái)支持改進(jìn)跨職能協(xié)作，從而增強(qiáng)供應(yīng)鏈要供

應(yīng)商中如何處理安全責(zé)任。定。3.創(chuàng)建所有直要求重要供應(yīng)商為其直接供應(yīng)商）創(chuàng)建類似的依賴關(guān)系圖。（您的第

n方供應(yīng)商接供應(yīng)商的清單，并列出對(duì)內(nèi)部和外部系統(tǒng)、服務(wù)和數(shù)據(jù)存儲(chǔ)的訪問(wèn)權(quán)限。4.當(dāng)部署新的供應(yīng)商平臺(tái)時(shí)，利用投標(biāo)和采購(gòu)流程來(lái)改進(jìn)整個(gè)供應(yīng)商體系的可見(jiàn)性、可追溯性和網(wǎng)絡(luò)治理實(shí)踐。通過(guò)應(yīng)用責(zé)任共擔(dān)模式來(lái)管理供應(yīng)鏈安全，供應(yīng)商就成為了更強(qiáng)韌性的來(lái)源，而不是更大的風(fēng)險(xiǎn)。14觀點(diǎn)生成式

AI助力保障生態(tài)系統(tǒng)安全根據(jù)

IBM商研究院近期的一項(xiàng)調(diào)研，96%的受業(yè)價(jià)值共同推動(dòng)網(wǎng)絡(luò)安全和供應(yīng)鏈運(yùn)營(yíng)轉(zhuǎn)型訪美國(guó)高管表示，采用生成式

AI可能會(huì)在未來(lái)三年內(nèi)14AI高管們對(duì)生成式

持樂(lè)觀狀態(tài)，但預(yù)期略為保守。導(dǎo)致其組織出現(xiàn)安全漏洞。而這次最新調(diào)研的受訪者則表現(xiàn)得更樂(lè)觀。只有

39%的受訪者預(yù)計(jì)生成式

AI會(huì)對(duì)其運(yùn)營(yíng)安全性和韌性構(gòu)成重

大風(fēng)險(xiǎn)，而

52%的受訪者認(rèn)為生成式

AI的好處將超過(guò)任何潛在風(fēng)險(xiǎn)（見(jiàn)圖）。62%

生成式

AI將變革安全能力網(wǎng)絡(luò)風(fēng)險(xiǎn)和網(wǎng)絡(luò)這項(xiàng)技術(shù)為網(wǎng)絡(luò)犯罪分子提供了新的工具，同時(shí)也能為15防御者提供更高級(jí)的功能來(lái)檢測(cè)和應(yīng)對(duì)攻擊。55%生成式

AI將變革供應(yīng)鏈運(yùn)營(yíng)作為整體安全戰(zhàn)略的一部分，生成式

AI可以在增強(qiáng)供應(yīng)鏈韌性方面發(fā)揮重要作用，包括加快供應(yīng)商評(píng)估和管理實(shí)踐、支持協(xié)同事件響應(yīng)的模擬和規(guī)劃、自動(dòng)執(zhí)行日常任務(wù)以減輕人為錯(cuò)誤的影響，以及為供應(yīng)鏈系統(tǒng)提供實(shí)時(shí)監(jiān)控，以便及時(shí)發(fā)出安全問(wèn)題警報(bào)。隨著能力日趨52%

生成式

AI的好處超過(guò)風(fēng)險(xiǎn)45%

生成式

AI將變革我們的生態(tài)合作成熟，生成式

AI將變得更加以行動(dòng)為導(dǎo)向

―

編寫和修正代碼、檢查代碼庫(kù)，以及幫助定義和監(jiān)控安全策略與控制措施。一項(xiàng)研究表明，生成式

AI將編寫代碼的完方法縮短了

35%至

45%。1639%成時(shí)間生成式AI對(duì)運(yùn)營(yíng)安全性和韌性構(gòu)成重

大風(fēng)險(xiǎn)超過(guò)一半的受訪者

(55%)看到了生成式

AI在變革的潛力。在當(dāng)前或未來(lái)

12個(gè)月內(nèi)，企業(yè)投資部署生成式

AI的主要供應(yīng)鏈運(yùn)營(yíng)方面供應(yīng)鏈用例包括提高運(yùn)營(yíng)效率，分配、風(fēng)險(xiǎn)管理（包括網(wǎng)絡(luò)安全），以及增強(qiáng)可視性以改進(jìn)預(yù)測(cè)和決策能力。更長(zhǎng)期的目標(biāo)則包括合問(wèn)：考慮貴公司未來(lái)三年的戰(zhàn)略，您在多大程度上同意以下關(guān)于生成式AI的陳述？例如資源規(guī)管理和物流，例如機(jī)器人、無(wú)人機(jī)和自動(dòng)駕駛汽車。15挑戰(zhàn)三：最薄弱的環(huán)節(jié)圖

8從長(zhǎng)遠(yuǎn)來(lái)看，在選擇供應(yīng)商時(shí)優(yōu)先考慮成本而許多供應(yīng)鏈合作伙伴的安全實(shí)踐較差不是風(fēng)險(xiǎn)和韌性因素可能會(huì)產(chǎn)生更高的成本。65%64%成本如果供應(yīng)鏈的安全性取決于其最薄弱的環(huán)節(jié)，那么不遵守組織安全準(zhǔn)則的合作伙伴就會(huì)使整個(gè)供應(yīng)鏈變得脆弱。然而，對(duì)于受訪高管來(lái)說(shuō)，安全實(shí)踐并不是選擇供應(yīng)商的主要考慮因素。事實(shí)上，成本才是其首要決定因露、信息安全、監(jiān)管合規(guī)和韌60%素，其重要性要比風(fēng)險(xiǎn)暴性等因素高出

23%（見(jiàn)圖

8）。不過(guò)，采購(gòu)成本上的任何財(cái)務(wù)節(jié)省可能是短暫的，因?yàn)閺拈L(zhǎng)遠(yuǎn)來(lái)看，忽視供應(yīng)商的安全實(shí)踐可能會(huì)導(dǎo)致更高的延遲成本。隨著時(shí)間的推移，較低的風(fēng)險(xiǎn)和韌性可視性可能會(huì)推高運(yùn)營(yíng)支持成本，而在風(fēng)險(xiǎn)和韌性方面的投55%資52%績(jī)效則有助于降低這些成本（請(qǐng)參閱第

20頁(yè)的“觀點(diǎn)：累積風(fēng)險(xiǎn)如何將組織置于險(xiǎn)境”）。50%45%40%35%49%靈活性45%風(fēng)險(xiǎn)暴45%品牌價(jià)值露44%監(jiān)管合規(guī)42%服務(wù)質(zhì)量40%信息安全40%互操作性35%韌性問(wèn)：選擇供應(yīng)商時(shí)最重要的因素是什么？16即使在評(píng)估供應(yīng)商風(fēng)險(xiǎn)時(shí)，只有約一半的受訪者會(huì)將數(shù)據(jù)和信息安全納入采購(gòu)流程。這遠(yuǎn)低于品牌聲譽(yù)和財(cái)務(wù)報(bào)告這兩項(xiàng)主要因素，而這兩者都無(wú)法提供真實(shí)可見(jiàn)的風(fēng)險(xiǎn)管理實(shí)踐（見(jiàn)圖

9）。圖

9在評(píng)估供應(yīng)商風(fēng)險(xiǎn)時(shí)，只有一半的受訪者會(huì)考慮數(shù)據(jù)和信息安全。定量定性13%41%27%44%13%22%41%53%46%54%14%38%60%81%71%58%51%51%51%50%49%46%43%42%35%35%聲譽(yù)監(jiān)管合規(guī)公司治理法律實(shí)踐勞動(dòng)力實(shí)踐倫理和誠(chéng)信實(shí)踐遵守行業(yè)標(biāo)準(zhǔn)數(shù)據(jù)和信息安全技術(shù)標(biāo)準(zhǔn)運(yùn)營(yíng)健康和安全因素外國(guó)所有權(quán)和影響關(guān)鍵供應(yīng)商77%19%財(cái)務(wù)報(bào)告實(shí)踐50%50%0%問(wèn)：貴組織如何評(píng)估潛在供應(yīng)商的風(fēng)險(xiǎn)（定量）？問(wèn)：貴組織如何評(píng)估潛在供應(yīng)商的風(fēng)險(xiǎn)（定性）？17最令人擔(dān)憂的是，受訪組織表示其供應(yīng)商對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理推薦實(shí)踐的采用率較低（見(jiàn)圖10）。例如，只有略高于一半的受訪組織表示會(huì)對(duì)其直接和間接供應(yīng)商進(jìn)行風(fēng)險(xiǎn)態(tài)勢(shì)評(píng)估。盡管這是一項(xiàng)最常見(jiàn)的實(shí)踐，它不過(guò)是改善組織整體風(fēng)險(xiǎn)態(tài)勢(shì)的最低標(biāo)準(zhǔn)。在供應(yīng)商引導(dǎo)方面，只有不到一半的受訪者使用了所有其他評(píng)估實(shí)踐。圖

10理解供應(yīng)商風(fēng)險(xiǎn)暴露：不成熟的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估實(shí)踐會(huì)導(dǎo)致更大的下游漏洞。間接直接58%55%量化風(fēng)險(xiǎn)暴露39%47%執(zhí)行定期盡職調(diào)查32%43%評(píng)估供應(yīng)商的關(guān)鍵依賴關(guān)系的補(bǔ)救/響應(yīng)程序盤點(diǎn)關(guān)鍵資產(chǎn)/服務(wù)35%41%40%39%35%建立共同26%46%41%評(píng)估運(yùn)營(yíng)治理量化風(fēng)險(xiǎn)暴露28%33%評(píng)估軟件來(lái)源25%27%32%30%評(píng)估采購(gòu)實(shí)踐和控制評(píng)估供應(yīng)商潛在攻擊面27%30%開(kāi)展事件響應(yīng)演練100%0%100%問(wèn)：在您的直接供應(yīng)商中，日常運(yùn)營(yíng)中采用了哪些領(lǐng)先實(shí)踐？問(wèn)：在您的間接供應(yīng)商中，日常運(yùn)營(yíng)中采用了哪些領(lǐng)先實(shí)踐？18我們調(diào)研的受訪者在其軟件供應(yīng)鏈管理實(shí)踐方面也反映IBMX-Force威脅情報(bào)團(tuán)隊(duì)指出，這導(dǎo)致各種層出不窮出類似的不成熟水平。盡管采用了一些領(lǐng)先實(shí)踐，但受的攻擊方法都將軟件供應(yīng)鏈作為目標(biāo)。最近的一項(xiàng)調(diào)研表明，使用有效憑證的攻擊量同比大幅增長(zhǎng)

(+71%)，訪者僅處于其采用的早期階段（見(jiàn)圖

11）。這些憑證通過(guò)暗網(wǎng)銷售，讓攻擊者從黑客攻擊轉(zhuǎn)向登錄我們以訪問(wèn)控制和合規(guī)措施為例。只有

22%的受訪者17攻擊。

如果沒(méi)有強(qiáng)大的風(fēng)險(xiǎn)文化來(lái)主動(dòng)識(shí)別和管理供表示其組織部署了訪問(wèn)控制和最小權(quán)限原則來(lái)保護(hù)軟件應(yīng)商和軟件漏洞，供應(yīng)鏈韌性仍將無(wú)從談起。供應(yīng)鏈。圖

11受訪者仍處于采用軟件供應(yīng)鏈安全最佳實(shí)踐的早期階段。安全測(cè)試和驗(yàn)證執(zhí)行臨時(shí)代碼完整性檢查和審查在預(yù)定義檢查點(diǎn)進(jìn)行代碼審查驗(yàn)證生成式

AI輸入和輸出的完整性測(cè)試各個(gè)軟件組件的完整性32%30%30%27%使用滲透測(cè)試查找漏洞15%基礎(chǔ)設(shè)施和軟件管理標(biāo)準(zhǔn)化軟件治理37%32%29%27%理解開(kāi)源組件的依賴關(guān)系創(chuàng)建軟件組件清單要求提供軟件物料清單

(SBOM)實(shí)施靜態(tài)或不可變的基礎(chǔ)設(shè)施實(shí)踐20%訪問(wèn)控制和合規(guī)性實(shí)施持續(xù)合規(guī)實(shí)踐29%28%24%記錄政策或控制中的疏漏為第三方合作伙伴實(shí)施軟件質(zhì)量控制部署訪問(wèn)控制和最小權(quán)限原則22%運(yùn)營(yíng)實(shí)踐與原則實(shí)施持續(xù)監(jiān)控功能采用

DevSecOps原24%32%29%則和實(shí)踐將運(yùn)營(yíng)韌性實(shí)踐融入運(yùn)營(yíng)問(wèn)：您在組織中采取了哪些措施來(lái)保障軟件供應(yīng)鏈安全？19觀點(diǎn)累積風(fēng)險(xiǎn)如何將組織置于險(xiǎn)境韌性不能止于保持警惕。運(yùn)營(yíng)中斷通常是難以通過(guò)標(biāo)準(zhǔn)風(fēng)險(xiǎn)模型進(jìn)行預(yù)測(cè)。過(guò)去五年的經(jīng)驗(yàn)明確表明，風(fēng)險(xiǎn)是逐漸出現(xiàn)的，然后由于無(wú)法預(yù)見(jiàn)的多項(xiàng)因素而突然爆發(fā)，從而引發(fā)連鎖反應(yīng)，對(duì)整個(gè)供應(yīng)鏈上下游造成嚴(yán)破壞。

比如，想象一下勒索軟件攻擊加上人才短缺，再加上災(zāi)難性的天氣事件，然后一條航運(yùn)路線堵塞，需要繞行很長(zhǎng)一段距離。由各種復(fù)雜、連續(xù)的風(fēng)險(xiǎn)所導(dǎo)致的，這些風(fēng)險(xiǎn)18重隨著和創(chuàng)收（見(jiàn)圖）。大約三分之一的受訪者表示曾受到多項(xiàng)風(fēng)險(xiǎn)因素的顯著影響，這意味需要采取非常措施來(lái)應(yīng)對(duì)相應(yīng)風(fēng)險(xiǎn)。還有一小部分但為數(shù)不少的受訪者表示遭遇了更為嚴(yán)重

和持久的中斷。對(duì)數(shù)字服務(wù)的依賴日益增加，風(fēng)險(xiǎn)迅速擴(kuò)展到

IT/IS領(lǐng)域以外，從而擾亂核心運(yùn)營(yíng)著隨著風(fēng)險(xiǎn)因素的增加，累積風(fēng)險(xiǎn)成為一個(gè)日益嚴(yán)重

的問(wèn)題。2021年至

2023年期間影響運(yùn)營(yíng)的因素技術(shù)型人才的可用性貿(mào)易環(huán)境的變化疫情/健康影響獲取資本49%45%42%40%40%第三方故障原材料短缺40%39%網(wǎng)絡(luò)安全事件能源中斷35%28%25%氣候相關(guān)事件政治不確定性嚴(yán)重

：中斷對(duì)持續(xù)業(yè)務(wù)運(yùn)營(yíng)造成了持久而重

大的影響顯著：需要采取非常措施來(lái)應(yīng)對(duì)，并對(duì)業(yè)務(wù)產(chǎn)生了顯著影響問(wèn)：2021年至

2023年期間，以下因素對(duì)運(yùn)營(yíng)產(chǎn)生了什么樣的影響？表示產(chǎn)生“顯著”或“嚴(yán)重

”影響的受訪者比例。20未來(lái)十年，隨著供應(yīng)鏈轉(zhuǎn)向安全、具有韌性的生態(tài)系統(tǒng)，也會(huì)出現(xiàn)各種新的不確定性因素，也需要更加關(guān)注各種新的風(fēng)險(xiǎn)。

尤其令人擔(dān)憂的是，我們懷疑運(yùn)營(yíng)受到顯著影響的組織中有較高比例可能已經(jīng)達(dá)到管理多重

風(fēng)險(xiǎn)的能力極限。只要外加一點(diǎn)沖擊，就可能令這些組織落新型貿(mào)易關(guān)系的出現(xiàn)，供應(yīng)鏈運(yùn)營(yíng)可能會(huì)發(fā)生巨變。即使組織從復(fù)雜的19入“嚴(yán)重

運(yùn)營(yíng)影響”的類別，從而導(dǎo)致收入受到巨大影響。根據(jù)我們的分析，風(fēng)險(xiǎn)因素的增加可能會(huì)意外地迅速演變成一場(chǎng)毀滅性的大規(guī)模中斷，在最嚴(yán)重

的情況下會(huì)危及超過(guò)

75％

的收入。基于受訪者對(duì)上述每個(gè)風(fēng)險(xiǎn)因素對(duì)收入影響的估計(jì)，我們的分析表明，那些受到多重

嚴(yán)重

風(fēng)險(xiǎn)困擾的組織必須要面對(duì)令人擔(dān)憂的收入風(fēng)險(xiǎn)：小型組織每年有

1.605億美元的收入面臨風(fēng)險(xiǎn)，大型組織每年有超過(guò)

220億美元的收入面臨風(fēng)險(xiǎn)。對(duì)于一些組織來(lái)說(shuō)，當(dāng)前的形勢(shì)已經(jīng)再糟糕不過(guò)了

―

高風(fēng)險(xiǎn)環(huán)境疊加經(jīng)濟(jì)不確定性帶來(lái)了極其嚴(yán)峻的挑戰(zhàn)。受訪者表示，過(guò)去三年（2021年至

2023年期間），其組織的平均收入增長(zhǎng)率下降了

55%，利潤(rùn)下降了

49%。多重

嚴(yán)重

風(fēng)險(xiǎn)危及大量收入因嚴(yán)重

影響因素而面臨的預(yù)計(jì)收入風(fēng)險(xiǎn)組織規(guī)模低平均高低平均高+1風(fēng)險(xiǎn)因素+1風(fēng)險(xiǎn)因素+1風(fēng)險(xiǎn)因素+4風(fēng)險(xiǎn)因素+4風(fēng)險(xiǎn)因素+4風(fēng)險(xiǎn)因素3,700萬(wàn)美元

7,100萬(wàn)美元

1.256億美元

1.605億美元

2.746億美元

4.133億美元平均年收入1.2億至

8.38億美元1.517億美元

2.91億美元6.486億美元

12.4億美元5.158億美元

4.729億美元

8.093億美元

12.2億美元平均年收入8.38億至

52億美元22億美元29.9億美元85.9億美元51.1億美元147億美元76.9億美元平均年收入52億至

161億美元23.4億美元44.9億美元79.6億美元221.2億美元平均年收入161億至

2,025億美元數(shù)字為四舍五入注：“低”、“平均”和“高”基于受訪者對(duì)特定事件影響運(yùn)營(yíng)的一系列問(wèn)題的回答：對(duì)于被歸類為“嚴(yán)重

”的沖擊，貴組織有多少百分比的收入面臨風(fēng)險(xiǎn)？21機(jī)遇：為直接和間接供應(yīng)商營(yíng)造強(qiáng)大、共同的安全文化，增強(qiáng)整個(gè)供應(yīng)商體系的韌性。未來(lái)，組織需要將安全意識(shí)作為文化基石，在整個(gè)運(yùn)營(yíng)環(huán)境中加強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理、安全和韌性。這意味著采取整體方法來(lái)管理供應(yīng)鏈、網(wǎng)絡(luò)安全生命周

期和

IT/IS支持生態(tài)系統(tǒng)。為了遏制風(fēng)險(xiǎn)和漏洞，組織應(yīng)當(dāng)在內(nèi)部和供應(yīng)商網(wǎng)絡(luò)中采用零信任原則。這正是“安全設(shè)計(jì)”方法的實(shí)際應(yīng)用。由于各種新的威脅向量可能會(huì)在運(yùn)營(yíng)生命周

期的不同階段出現(xiàn)，因此組織應(yīng)當(dāng)著重

采用端到端的網(wǎng)絡(luò)風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全方法，涵蓋

從初始設(shè)計(jì)、材料采購(gòu)、供應(yīng)商選擇、分銷到最終用戶運(yùn)營(yíng)支持的整個(gè)周

期。我們的分析表明，這種轉(zhuǎn)變始于加強(qiáng)組織自身對(duì)軟件供20應(yīng)鏈管理最佳實(shí)踐的采用，包括遵守最新法規(guī)，例如汽車行業(yè)采用的法規(guī)。那些更有效采用這些實(shí)踐的受訪者正從強(qiáng)大的軟件安全實(shí)踐中獲益。這些組織在其供應(yīng)商體系中遇到運(yùn)營(yíng)中斷的幾率明顯較低（見(jiàn)圖

12）。其次，出于自身利益考慮，企業(yè)高管必須通過(guò)適當(dāng)?shù)耐独砗蛻?yīng)對(duì)能力。更廣泛地采用供應(yīng)商評(píng)估、選擇和采購(gòu)流程時(shí)，應(yīng)納入對(duì)安全漏洞控制以及風(fēng)險(xiǎn)相關(guān)績(jī)效指標(biāo)的評(píng)估，最好是側(cè)重

于嚴(yán)重

性和潛在風(fēng)險(xiǎn)收入的指標(biāo)。這可能還資，支持業(yè)務(wù)合作伙增強(qiáng)風(fēng)險(xiǎn)管21要采用新的軟件質(zhì)量和驗(yàn)證標(biāo)準(zhǔn)。為了遏制風(fēng)險(xiǎn)和漏洞，組織應(yīng)當(dāng)在內(nèi)部和供應(yīng)商網(wǎng)絡(luò)中采用零信任原則。22圖

12對(duì)于軟件安全實(shí)踐更好的組織，其運(yùn)營(yíng)中斷減少了

27%。運(yùn)營(yíng)中斷指數(shù)1716.5161514131211更好的安全實(shí)踐可減少運(yùn)營(yíng)中斷減少27%13.412.712.1<=4.005.006.007.00+軟件供應(yīng)鏈安全實(shí)踐（綜合得分）基于

IBMIBV分析。運(yùn)營(yíng)中斷指數(shù)（y軸

）是表軟件供應(yīng)鏈安全實(shí)踐采用情況的綜合得分。分?jǐn)?shù)越高則表示軟件供應(yīng)鏈領(lǐng)先實(shí)踐的采用程度越高。這對(duì)應(yīng)于更低的運(yùn)營(yíng)中斷發(fā)生率。根據(jù)一系列常見(jiàn)風(fēng)險(xiǎn)因素來(lái)衡量組織中斷傾向的綜合指標(biāo)。x軸代23IBM商發(fā)現(xiàn)，對(duì)于中度依賴供應(yīng)商的組織（即戰(zhàn)略供應(yīng)商關(guān)系占收入的

50%-75%），其運(yùn)營(yíng)業(yè)價(jià)值研究院的分析還表明，采購(gòu)模式可能在運(yùn)營(yíng)韌性中發(fā)揮著重要作用。我們中斷發(fā)生率降低了

17%（見(jiàn)圖

13）。圖

13一些組織在其供應(yīng)商采購(gòu)模式中找到了最佳平衡點(diǎn)，可將運(yùn)營(yíng)中斷減少

17%。運(yùn)營(yíng)中斷指數(shù)2524.224232221201923.7正確的采購(gòu)模式可以減少運(yùn)營(yíng)中斷。17%差值23.520.0高度獨(dú)立于供應(yīng)商中度獨(dú)立于供應(yīng)商中度依賴于供應(yīng)商高度依賴于供應(yīng)商組織依賴戰(zhàn)略供應(yīng)商獲

組織依賴戰(zhàn)略供應(yīng)商獲得

組織依賴戰(zhàn)略供應(yīng)商獲得

組織依賴戰(zhàn)略供應(yīng)商得的收入少于

25%的收入達(dá)到25%至50%的收入達(dá)到

50%至

75%獲得的收入超過(guò)

75%供應(yīng)商依賴程度基于

IBMIBV對(duì)“您如何描述貴組織的供應(yīng)鏈采購(gòu)模式？”這一問(wèn)題的分析。運(yùn)營(yíng)中斷指數(shù)（y軸

）是見(jiàn)風(fēng)險(xiǎn)因素來(lái)衡量組織中斷傾向的綜合指標(biāo)。戰(zhàn)略供應(yīng)商的定義是“提供對(duì)于您的業(yè)務(wù)成功至關(guān)重根據(jù)一系列常要的商品或服務(wù)的公司”。24我們懷疑這是因?yàn)橹卸纫蕾嚬?yīng)商的采購(gòu)模式是一種富有吸引力的折衷方案。組織可以通過(guò)密切的合作伙伴關(guān)系獲得規(guī)模經(jīng)濟(jì)、標(biāo)準(zhǔn)化和治理，同時(shí)保留一定的靈活相關(guān)的風(fēng)險(xiǎn)集中。行動(dòng)：將營(yíng)造強(qiáng)大的安全文化列為第一優(yōu)先要?jiǎng)?wù)。性，以避免供應(yīng)商1.安排一場(chǎng)研討會(huì)，為

IT/IS員工和合作伙伴啟動(dòng)一這種中度供應(yīng)商依賴、共同鎖定或與極少供應(yīng)商投資和共擔(dān)責(zé)任的完美平衡，構(gòu)成了一個(gè)安全、互聯(lián)的生態(tài)系統(tǒng)，也就不足為奇了。增強(qiáng)供應(yīng)鏈韌性的最便捷項(xiàng)安全意識(shí)、行為和文化倡議。2.審查并更新現(xiàn)有政策，在其中納入軟件供應(yīng)鏈最佳對(duì)于許多組織來(lái)說(shuō)，這或許是實(shí)踐。制定并傳達(dá)新的采購(gòu)標(biāo)準(zhǔn)，并為各種領(lǐng)先安全評(píng)估、途徑。實(shí)踐實(shí)施安全控制措施，例如供應(yīng)商SBOM治理、軟件測(cè)試和代碼質(zhì)量審查等。3.查看美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院

(USNIST)關(guān)于網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險(xiǎn)管理的框架，了解您的組織可以22采用哪些領(lǐng)先實(shí)踐。4.優(yōu)先選擇具有安全意識(shí)的供應(yīng)商關(guān)鍵供應(yīng)商并評(píng)估其核心安全實(shí)踐（包括是否采用零信任架構(gòu)）以及相關(guān)的績(jī)效和服務(wù)水平。評(píng)估合條款是否包含遵守安全標(biāo)準(zhǔn)或績(jī)效閾值方面的內(nèi)容。根據(jù)定期安全審計(jì)來(lái)持續(xù)監(jiān)控合規(guī)情況。。首先，選擇三家同中度依賴供應(yīng)商的組織正在有效分擔(dān)責(zé)任?他們是安全、互聯(lián)生態(tài)系統(tǒng)中的重要合作伙伴。25作者KaivanKarimiIBM商業(yè)

價(jià)值研究院移動(dòng)合作伙伴關(guān)系以及制造與移動(dòng)

OT安全Microsoft業(yè)價(jià)值IBM商研究院

(IBMIBV)成立二十年來(lái)，憑借kaivankarimi@/in/kaivankarimi/IBM在商業(yè)、技術(shù)和社會(huì)交叉領(lǐng)域的獨(dú)特地位，每年都會(huì)針對(duì)成千上萬(wàn)高管、消費(fèi)者和專家展開(kāi)調(diào)研、訪談和互動(dòng)，將他們的觀點(diǎn)綜合成可信賴的、振奮人心和切FabioCampos實(shí)可行的洞察。全球網(wǎng)絡(luò)戰(zhàn)略與風(fēng)險(xiǎn)執(zhí)行合伙人網(wǎng)絡(luò)安全服務(wù)，IBMConsultingcamposf@需

要IBV最

新

研

究

成

果，

請(qǐng)

在

/ibv上

注

冊(cè)以接收

IBV的電子郵件通訊。您可以在

Twitter上關(guān)注

@IBMIBV，

或

通

過(guò)

https://ibm.co/ibv-linkedin在LinkedIn上聯(lián)系我們。/in/fabiolcampos/BrettDrummond訪問(wèn)

業(yè)價(jià)值研究院中國(guó)官網(wǎng)，免費(fèi)下載研究報(bào)IBM商網(wǎng)絡(luò)安全服務(wù)合伙人IBMConsulting告：/ibv/cnBrett.Drummond@/in/brettdrummond/相關(guān)報(bào)告GeraldParham全球安全研究負(fù)責(zé)人兼

CIOCEO生成式

AI行動(dòng)指南：網(wǎng)絡(luò)安全I(xiàn)BM商業(yè)價(jià)值研究院CEO生成式

AI行動(dòng)指南：網(wǎng)絡(luò)安全gparham@/in/gerryparham/業(yè)價(jià)值IBM商研究院，2023年

11月/downloads/cas/2RMEW1QL致謝人工智能和自動(dòng)化助力網(wǎng)絡(luò)安全許多人為本研究的設(shè)計(jì)和材料開(kāi)發(fā)做出了貢獻(xiàn)。本報(bào)告人工智能和自動(dòng)化助力網(wǎng)絡(luò)安全：領(lǐng)導(dǎo)者如何統(tǒng)籌技術(shù)中的內(nèi)容體現(xiàn)了許多才華橫溢的個(gè)人在研究設(shè)計(jì)、數(shù)據(jù)分析、編輯和敘述發(fā)展、圖形設(shè)計(jì)、主題專業(yè)知識(shí)和贊和人才以取得成功業(yè)價(jià)值IBM商研究院，2022年

8月助等方面的聰明才智和創(chuàng)造力。/downloads/cas/GNWDN5GD作者謹(jǐn)此特別感謝以下個(gè)人做出的杰出貢獻(xiàn)：JoannaWilkins、LilyPatel、KristinBiron、SaraAboulhosn、NagiPunyamurthula、RichardHogan、TeresaSuarez、AlliePowell、EvelynAnderson、CharlesChang、LiamCleaver和

DimpleAhluwalia。網(wǎng)絡(luò)經(jīng)濟(jì)時(shí)代的發(fā)展繁榮之道網(wǎng)絡(luò)經(jīng)濟(jì)時(shí)代的發(fā)展繁榮之道：重

新思考業(yè)務(wù)轉(zhuǎn)型的網(wǎng)絡(luò)風(fēng)險(xiǎn)IBM商/downloads/cas/4MXMDOKA業(yè)價(jià)值研究院，2023年

2月26調(diào)研和研究方法為了解組織如何投資于安全功能以增強(qiáng)運(yùn)營(yíng)韌性，受訪者的篩選標(biāo)準(zhǔn)如下：來(lái)自“正在很大程度上”實(shí)業(yè)價(jià)值IBM商研究院與牛津經(jīng)濟(jì)研究院合作，對(duì)

2,000施安全供應(yīng)鏈功能的組織，并且對(duì)其組織的供應(yīng)鏈采名負(fù)責(zé)供應(yīng)商管理、供應(yīng)商采購(gòu)和生態(tài)系統(tǒng)合作伙伴購(gòu)和方法“極其熟悉”。關(guān)系的高管開(kāi)展了一項(xiàng)調(diào)研。調(diào)研采用雙盲方式，受訪者并不知道是哪些組織正在開(kāi)展這項(xiàng)調(diào)研，IBM或?qū)Y(jié)果進(jìn)行分析以確定安全實(shí)踐與積極業(yè)務(wù)成效（例如增強(qiáng)運(yùn)營(yíng)韌性）之間的重要關(guān)系。某些情況下，回微軟也不知道各個(gè)受訪者的身份。復(fù)結(jié)果會(huì)與類似項(xiàng)組合成一個(gè)綜合指數(shù)，然后一起進(jìn)調(diào)研對(duì)象包括以下角色的高管（或其等同職位）：主要行分析，以理解更復(fù)雜的現(xiàn)象，如組織的運(yùn)營(yíng)中斷傾負(fù)責(zé)生態(tài)系統(tǒng)戰(zhàn)略的高級(jí)管理人員（CEO、總裁、首席向或軟件供應(yīng)鏈實(shí)踐的綜合影響。戰(zhàn)略官、首席運(yùn)營(yíng)官、總經(jīng)理）、CISO、CIO、CTO、首席供應(yīng)鏈官、首席風(fēng)險(xiǎn)官、首席采購(gòu)官，以及信息安全職能部門、信息技術(shù)職能部門和供應(yīng)鏈職能部門的高級(jí)管理人員（副總裁或以上）。在估算”的各個(gè)風(fēng)險(xiǎn)因素的相對(duì)財(cái)務(wù)影響。組織因多個(gè)風(fēng)險(xiǎn)因素而面臨的財(cái)務(wù)風(fēng)險(xiǎn)暴露是通過(guò)以下計(jì)算方法得出的：將各個(gè)風(fēng)險(xiǎn)因素相加，然后根據(jù)組織的總收入估算財(cái)務(wù)影響。“平均”估算于屬于指定收入四分位數(shù)分布范圍的組織的平均值。“低”估算和天然氣）、電子產(chǎn)品、工業(yè)產(chǎn)品、消費(fèi)品、能源有最小財(cái)務(wù)影響的各個(gè)風(fēng)險(xiǎn)因素的組合。“高”估算組織面臨的收入風(fēng)險(xiǎn)時(shí)，計(jì)算依據(jù)是歸類為“嚴(yán)重受訪者來(lái)自

31個(gè)國(guó)家的

16個(gè)行業(yè)：銀行業(yè)、公共部門、值基汽車業(yè)（OEM和供應(yīng)商）、化工和石油業(yè)（包括石油值是具和公用事業(yè)、金融市場(chǎng)、醫(yī)療保?。ǚ?wù)提供者和支付方）、值是具有最大財(cái)務(wù)影響的各個(gè)風(fēng)險(xiǎn)因素的組合。保險(xiǎn)業(yè)、生命科學(xué)

/制藥、電信、零售業(yè)、交通運(yùn)輸業(yè)和旅游業(yè)。27備注和參考資料12Overby,Stephanie.“Cybercrime-as-a-Service:11“VehicleManufacturersNeedtoKnowWhat’sInsideTheirSupplier’sCode.”Argus.February27,2022./blog/cyber-security-blog/vehicle-manufacturers-need-to-know-whats-inside-their-suppliers-code/CommoditizationFuelsThreatSurge.”Mimecast.April18,2022./blog/cybercrime-as-a-service-commoditization-fuels-threat-surge/“WideningDisparitiesandGrowingThreatsCloudGlobalCybersecurityOutlookfor2024.”WorldEconomicForumnewsrelease.January11,2024./press/2024/01/wef24-global-cybersecurity-outlook-2024/12Fisher,LisaandGeraldParham.AIandautomationforcybersecurity:Howleaderssucceedbyunitingtechnologyandtalent.IBMInstituteforBusinessValue.May2022.https://ibm.co/ai-cybersecurity34Mills,KarenG.,ElisabethB.Reynolds,andMorganeHerculano.“SmallBusinessesPlayaBigRoleinSupply-ChainResilience.”HarvardBusinessReview.December6,2022./2022/12/small-businesses-play-a-big-role-in-supply-chain-resilience13Rajasekharan,Mahesh.“NeedAStrategyForDrivingSupplyChainConvergence?ThinkEcosystem-First.”Forbes.August29,2023./sites/forbestechcouncil/2023/08/29/need-a-strategy-for-driving-supply-chain-convergence-think-ecosystem-first/?sh=6f1aa4075407CloseEncountersoftheThird(andFourth)PartyKind.SecurityScorecardandCyentiaInstitute.February2023./wp-content/uploads/2024/01/Research-Close-Encounters-Of-The-Third-And-Fourth-Party-Kind.pdf14CEO’sguidetogenerativeAI:Cybersecurity.IBMInstituteforBusinessValue.October2023.https://ibm.co/ceo-generative-ai-cybersecurity15Warren,Tom.“MicrosoftandOpenAIsayhackersareusingChatGPTtoimprovecyberattacks.”TheVerge.February14,2024.https://www.theverge.com/2024/2/14/24072706/microsoft-openai-cyberattack-tools-ai-chatgpt56CostofaDataBreachReport2023.IBMSecurityandthePonemonInstitute.July2023.https:///reports/data-breach“Whatisasupplychain?”TechTarget.AccessedMay6,2024./whatis/definition/supply-chain;“Whatissoftwaresupplychainsecurity?”RedHat.AccessedMay6,2024.https://www.redhat.com/en/topics/security/what-is-software-supply-chain-security16“AcodingboostfromAI.”McKinsey.July21,2023./featured-insights/sustainable-inclusive-growth/chart-of-the-day/a-coding-boost-from-ai78“WideningDisparitiesandGrowingThreatsCloudGlobalCybersecurityOutlookfor2024.”WorldEconomicForumnewsrelease.January11,2024./press/2024/01/wef24-global-cybersecurity-outlook-2024/17X-ForceThreatIntelligenceIndex2024.IBMSecurity.February2024./reports/threat-intelligence/reports/threat-intelligence18RiskN:TheEraofExponentialRisk.Moody’s.2023./web/en/us/insights/exponential-risk.html“ShiftingtheBalanceofCybersecurityRisk:PrinciplesandApproachesforSecurity-by-Designand-Default.”CybersecurityandInfrastructureSecurityAgency.April13,2023./sites/19Ibid.20Karimi,Kaivan.“Thesecurityculturaltransformationoftheautomotiveindustry.”Microsoftblog.October31,2023./en-us/industry/blog/manufacturing-and-mobility/automotive/2023/10/31/the-security-cultural-transformation-of-the-automotive-industry/default/files/2023-04/pr