卡巴斯基最新的一项全球研究显示，合格的IT安全人才短缺，且全球企业需要优先处理各项安全任务，以减轻供应链攻击和可信关系攻击带来的风险。近半数（42%）的受访者提到了这两个因素。

卡巴斯基最近关于供应链和信任关系风险的研究[1]显示，供应链攻击已成为企业面临的主要威胁，在过去一年中，三分之一的组织曾遭受此类攻击。鉴于供应链攻击的严重性和频发性，有必要查明阻碍企业成功应对这些风险的关键原因。

调查显示，减少供应链和信任关系风险的关键障碍之一是缺乏合格的员工。这种人才短缺导致企业无力持续获取并监控其生态系统中可能存在的第三方漏洞。在越南、阿联酋、墨西哥和西班牙，对能够有效应对此类风险的安全专业人员的需求尤为迫切。

在诸多主要障碍中，受访者指出需要兼顾多个网络安全优先事项，这在印度、越南、新加坡和埃及的受访者中尤为突出。这反映出安全团队同时承担了过多任务，导致供应链威胁可能得不到妥善处理。

除了资源限制外，受访者还指出了结构性问题：39%的受访者表示，他们的合同中缺乏对承包商明确的IT安全义务要求，其中越南、土耳其、西班牙和墨西哥的合同漏洞尤为突出。另有32%的受访者指出，非信息安全人员往往未能充分理解这些风险。

调查显示，在全球范围内，高达85%的企业承认其组织需要加强针对供应链和可信关系风险的防护措施，而仅有15%的企业认为其当前的安全措施有效。在德国（6%）、土耳其（7%）、意大利（8%）、巴西（8%）、俄罗斯（8%）和沙特阿拉伯（9%）等主要经济体中，这种信心更是大幅下降。

与此同时，调查结果显示，当前针对第三方风险的缓解措施仍然碎片化，没有任何一种保护方式的采用率超过40%。即便最常用的防护措施——双因素认证，也仅有38%的受访者采用。

此外，只有35%的组织会定期审查承包商的网络安全状况。因此，近三分之二的企业对其合作伙伴的安全状况缺乏持续的可见性，从而使其在生态系统面临不断变化的漏洞时处于风险之中。

值得注意的是，那些已经经历过供应链和信任关系攻击的公司，往往会采取更强的安全习惯。遭遇过供应链事件的企业更倾向于要求提供渗透测试结果（56%），而信任关系被破坏的受害者则优先审查其对行业标准的合规性（56%）以及承包商自身的供应链政策（53%）。

“当安全团队工作量过大、人员不足，且不得不将紧急任务置于长期韧性建设之上时，企业便极易受到威胁，这些威胁可能在供应商生态系统中悄然蔓延。为了打破这种循环，行业需要采取更统一和一致的缓解策略，包括标准化的承包商评估和更强的跨团队意识。供应链安全应该成为一项贯穿整个业务网络的共同的、可强制执行的责任，”卡巴斯基安全运营中心负责人Sergey Soldatov评论说。

卡巴斯基大中华区总经理郑启良表示：“在当下复杂的商业环境中，供应链和信任关系风险凸出。企业面临诸多挑战，如人才短缺、多任务兼顾等。企业需打破当前困境，采取统一且持续的应对策略，将供应链安全视为整个商业网络的共同责任，通过多方协作筑牢安全防线，保障业务稳健发展。”

只有在整个组织范围内实施预防措施，并从战略角度与供应商和承包商建立合作伙伴关系，企业才能降低供应链风险，确保业务的韧性。

为了缓解这类风险，卡巴斯基给出以下建议：

·采用托管安全服务。对于缺乏专门网络安全资源的组织来说，最好的解决方案是寻求外包。使用卡巴斯基托管检测与响应（MDR）和/或事件响应等服务，这些服务涵盖了整个事件管理周期——从威胁识别到持续保护和修复。

·投资额外的网络安全课程。通过卡巴斯基网络安全培训（包括注重实践的自学课程或实时课程），提升员工的网络安全知识。这些培训项目有助于安全专业人员提升专业技能，并保护企业免受复杂攻击的侵害。

·在达成合作前全面评估供应商。核查其网络安全政策、过往安全事件信息以及行业安全标准的合规情况。对于软件和云服务，还建议审查漏洞数据和渗透测试结果。

·落实合同中的安全要求。与供应商签订的合同应包含具体的安全信息要求，例如定期安全审计、遵守贵组织的相关安全政策以及事件通知协议。

·与供应商在安全问题上进行合作。 加强双方的保护，并使其成为共同的优先事项。

更多建议以及关于供应链风险缓解的其他研究成果，请参见这个链接。

[1] 针对这份报告，卡巴斯基内部市场研究中心委托进行了一项调查，调查了1,714名技术专家，包括来自员工人数超过500人的企业的高管、副总裁、团队负责人和高级专家。这项研究覆盖了16个国家，包括德国、西班牙、意大利、巴西、墨西哥、哥伦比亚、新加坡、越南、中国、印度、印度尼西亚、沙特阿拉伯、土耳其、埃及、阿拉伯联合酋长国和俄罗斯。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止，卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务，为全球的个人用户、企业、关键基础设施和政府提供安全保护。该公司全面的安全产品组合包括领先的个人设备数字生活保护、面向企业的专业安全产品和服务，以及用于对抗复杂且不断演变的数字威胁的网络免疫解决方案。我们为数百万个人用户及近20万企业客户守护他们最珍视的数字资产。要了解更多详情，请访问www.kaspersky.com。