1、IBM 商業價值研究院|研究洞察全維度供應鏈數字化軟件定義未來的網絡安全2IBM Security 是值得信賴的合作伙伴，可為您提供融合 AI 的技術和服務，滿足不斷發展的業務需求。我們的現代化安全戰略方法讓您能夠充分利用數字創新，并在充滿不確定性和網絡威脅的環境中蓬勃發展。如需了解更多信息，請訪問：https:/ 如何提供幫助關于微軟與 IBM 的合作伙伴關系微軟和 IBM 建立了戰略合作伙伴關系，旨在幫助組織實現全面的企業級威脅管理。我們提供相互協同的安全解決方案，讓組織滿懷信心地在微軟云上加速遷移、現代化和業務轉型。IBM 提供全面的云安全產品組合，包括用于協同和優化安全資源的戰略與風險

2、咨詢、保護和實現數字信任的解決方案、威脅管理功能的實施和運營，以及利用現有資源推動安全轉型的開放式多云解決方案。如需了解更多信息，請訪問：https:/ibm.biz/msftsecurity1安全的數字供應鏈對于保障物理供應鏈安全至關重要。物理操作日益依賴于數字控制。在選擇供應商時，高管往往更注重成本，而忽視高成本的風險因素。直接和間接供應商通常未將常規的網絡風險管理實施到位。AI 可以更好地整合網絡和供應鏈運營，從而增強運營韌性。組織可以利用先進技術來改善協作并降低供應商風險。網絡風險和供應鏈風險日趨融合。摘要2駕馭新風險時代過去，供應鏈主要是指物理供應鏈。而如今，隨著數字技術在供應鏈中的

3、核心作用日益增強，不僅大幅提升了效率，也引入了新的、經常被低估的風險。盡管企業紛紛開始著力增強供應鏈韌性，但仍有許多企業的供應鏈網絡暴露在網絡風險中。隨著暗網網絡犯罪市場日趨成熟，網絡攻擊者在蓬勃發展的“網絡犯罪即服務”生態系統中共享資源，這使得惡意人員更容易針對供應鏈中的薄弱環節發起攻擊。1 他們通常會針對資源較少、漏洞較多的細分供應商進行攻擊。2 換句話說，大型供應鏈網絡中的大多數公司都可能成為攻擊目標。3數以百計甚至數以千計的第三方直接或間接互聯，提供了通向關鍵系統的無數路徑。一項研究表明，在過去兩年中，98%的受訪組織至少有一家供應商遭遇過數據泄露。4 另一項研究表明，來自業務合作伙伴

4、的數據泄露成本要比其他類型的數據泄露高出近 12%。5為了深入理解網絡安全因素如何影響價值鏈、供應鏈和生態系統的發展，IBM 商業價值研究院(IBM IBV)與微軟合作，針對全球各行業的 2,000 名安全和運營主管開展了一項調研（請參閱第 26 頁的“研究和分析方法”）。調研結果表明，高管對供應商風險和網絡漏洞的認識令人擔憂。盡管 74%的受訪者表示供應鏈韌性對于其組織的成功至關重要，但只有 40%的受訪者認為生態系統正在擴大網絡攻擊面。而且，只有不到三分之一的受訪組織正在通過優先的投資計劃來建立安全、互聯的供應鏈運營生態系統。3觀點首要問題：什么是“供應鏈”？6 根據 IBM 商業價值研究

5、院的調研，一部分組織認為網絡風險與供應鏈風險的管理是相互依存的，而這部分組織遭遇的供應鏈中斷明顯較少。然而，由于分散的決策和薄弱的網絡安全實踐加劇了負面因素，許多組織都難以洞悉潛在威脅及其對運營的影響。本報告探討了在調研中發現的三項關鍵網絡風險管理挑戰。針對每一項挑戰，我們提出了相應的機遇，即如何通過克服挑戰來增強供應鏈韌性。每個部分還附有簡明的行動方案，企業高管可以采取這些具體步驟，更有效地在其組織和生態系統中整合網絡風險和供應鏈風險管理。一部分組織認為網絡風險與供應鏈風險的管理是相互依存的，這部分組織遭遇的供應鏈中斷明顯減少。供應鏈是指產品開發和銷售流程中的相關個人、組織、資源、活動和技術

6、/IT 系統組成的網絡。供應鏈涵蓋從供應商向制造商供應原材料到產品最終交付給最終用戶的整個過程。軟件供應鏈則涵蓋軟件開發生命周期中接觸代碼的所有要素和所有人員，包括組件相關信息（如基礎架構、硬件、操作系統、云服務）、代碼編寫人員以及代碼的來源，如注冊表、GitHub 存儲庫、代碼庫或其他開源項目。其中還包括可能對軟件安全產生負面影響的任何漏洞。4數字供應鏈運營和風險迅速激增供應商網絡正在迅速擴展。本調研表明，受訪組織擁有龐大的直接和間接供應商網絡。根據所有行業受訪高管的數據，每家組織平均擁有 1,284 家直接供應商。而如果計入間接供應商，則第三方供應商數量會大幅增加（見圖 1）。近一半(48

7、%)的受訪者估計，間接供應商數量是直接供應商數量的五倍，即 6,420 家。這些直接和間接供應商共同構成了一個龐大的攻擊面 相當于至少有 7,700 個潛在威脅向量可能進入組織。挑戰一：規模龐大2,5687,70414,12426,964圖 1不斷擴大的供應商網絡帶來了龐大的攻擊面，為入侵關鍵基礎架構和運營提供了許多切入點。1 倍5 倍10 倍1,284直接供應商數量平均值（3%的受訪者）（17%的受訪者）（48%的受訪者）（32%的受訪者）直接供應商數量問：有多少直接供應商為貴組織的關鍵供應鏈提供支持？問：估計有多少間接（第 n 方）供應商為貴組織的直接供應商提供支持？20 倍直接供應商數量

8、直接供應商數量直接供應商數量間接供應商總數等于直接+間接供應商數量等于5供應商網絡如此龐大，使得組織預測潛在中斷變得非常困難，甚至不可能，更不用說協同有效的應對措施了。這將對運營產生巨大的影響。與供應商數量最少的組織相比，供應商數量最多的組織遇到的嚴重運營影響事件要多出 17%。這項分析考慮了多項因素的影響，包括網絡事件、人才和原材料短缺以及極端天氣事件（參見第 20 頁的分析）。事實上，在高度互聯的供應鏈環境中，網絡事件往往會成為引發嚴重中斷的導火索。盡管本調研表明，受訪者并未遭受過通過供應商發起的大規模網絡攻擊，但 30%的受訪者表示在過去三年中因第三方漏洞而遭受過攻擊。最近的一份報告表明

9、，這一問題正變得日益普遍：41%的受訪組織表示遭受過由第三方導致的重大網絡事件。7這一現狀給供應鏈應用和服務的安全性帶來了巨大的壓力。在過去三年中，針對各行業受訪者調研的主要發現包括：近 40%的受訪者表示其組織遭遇過需要采取非常措施來應對的網絡安全事件，或對運營產生持久而實質性影響的網絡安全事件。超過一半(52%)的受訪者表示其組織的供應鏈 IT 應用和服務曾遭遇重大或嚴重中斷。與其他職能領域相比，IT 應用和服務中斷對運營產生的影響更為顯著。展望未來，65%的受訪者認為供應鏈中斷可能發生在組織的 IT 基礎架構中，另有 53%的受訪者認為供應鏈中斷可能發生在組織的 IT 應用和服務中（見圖

10、 2）。問：供應鏈中斷最有可能發生在哪里？回答“可能”和“極有可能”的受訪者百分比。問：哪些職能領域最容易受到供應鏈中斷的影響？回答“影響中等”和“影響重大”的受訪者百分比。50%40%30%20%10%10%20%30%40%50%60%70%供應鏈中斷產生巨大影響中斷可能性很高分發運輸制造訂單管理采購尋源庫存管理需求規劃IT 應用和服務IT 基礎架構圖 2IT 相關職能是供應鏈中斷最有可能發生且受影響最嚴重的領域。組織百分比組織百分比56機遇：利用“安全設計”方法增強網絡和供應鏈韌性。鑒于廣泛的業務合作伙伴關系，組織需要采用一種新方法來保障供應鏈安全，即認識到內部和外部 IT 平臺與服務之

11、間的共同功能。許多供應鏈輸入和輸出都是使用通用基礎架構來實現和交付的，這為組織帶來了優勢。如果將網絡風險和供應鏈風險管理視為相互關聯的關系，則這兩個維度的能力都會變得更加強大。這就像是一種 DNA 雙螺旋結構，網絡韌性和供應鏈韌性會相互增強。兩者凝聚為一股合力，可改善效率、協同和價值創造；但同時也代表了兩種相互依賴且并行發展的能力。提高可視性和治理能力對于組織內部，乃至整個供應鏈和合作伙伴生態系統都至關重要。從更實際的層面來說，這種程度的整合是什么樣的？這是一種貫穿整個供應鏈的文化，從初始設計、采購材料、供應商、分銷到產品生命周期結束，網絡風險管理、安全和韌性均處于重要地位。作為第一步，供應鏈

12、和風險管理領導者可以效仿軟件和硬件開發社區的做法，采用“安全設計”原則，也稱為“左移”。這種方法將安全置于決策的最前沿，而不是事后再“亡羊補牢”。8 通過將“安全設計”應用于供應鏈的每一個階段，可推動運營各方優先加強網絡風險管理和協同治理實踐。這有助于促進各職能部門以及整個合作伙伴生態系統的協作。這帶來了諸多優勢，例如能夠盡早發現潛在漏洞、分享最佳實踐，以及有助于協同應對威脅（參見第 8 頁的案例研究：“汽車制造商采用全新的安全優先思維”）。網絡風險管理供應鏈風險管理7這種方法有助于改善運營和業務成效。根據 IBM 商業價值研究院的分析，在網絡風險和供應鏈風險管理領域具有更高成熟度的組織實現了

13、更出眾的安全投資回報率（見圖 3）。這兩個維度的成熟度相互強化。與表示受到類似網絡安全事件嚴重影響的其他組織相比，此類組織在過去三年中遭遇的網絡事件要少 89%。行動：采用“安全設計”方法優先增強供應鏈運營的安全性。1.組建一個跨職能的供應鏈風險管理團隊，包括 IT、OT 和產品安全專家，負責審查當前的供應鏈流程和系統。2.編寫一份供應商名單，并按關鍵性和風險暴露進行細分。安排團隊識別所有潛在的薄弱環節，涵蓋從供應商采購、物流到軟件分銷渠道的整個周期。3.然后，讓團隊合作設計和整合安全控制措施，以緩解已識別的風險。圖 3更成功地整合網絡風險和供應鏈風險管理的組織實現了更高的安全投資回報率。供應

14、鏈風險管理成熟度高23%14%24%19%平均安全投資回報率(ROSI)低基于 IBM IBV 分析。71%ROSI 增幅7低高網絡風險管理成熟度8全面的“安全設計”方法在整個運營流程中嵌入安全功能和控制從制造/OT 和企業/IT，到合理化互聯產品供應商，再到員工招聘和培訓實踐。8案例研究汽車制造商采用全新的安全優先思維9 隨著汽車日益依賴于軟件，網絡安全對于保障汽車安全至關重要?，F代汽車包含超過 1.5 億行代碼，自然也就增加了網絡攻擊的幾率。為了應對這些威脅，各種新的法規不斷出臺，包括聯合國歐洲經濟委員會(UNECE)發布的 WP.29 法規和 ISO/SAE 21434 標準，旨在管理整

15、個產品生命周期中的軟件網絡安全風險。10一家全球汽車制造商意識到，要實現全面電動化和拓展智能互聯汽車用戶群的宏大目標，網絡安全將發揮至關重要的作用。該公司還發現加速提高網絡安全成熟度已勢在必行針對關鍵 IT 資產樣本的風險量化評估表明，預計年損失超過 10 億美元，這一驚人的金額可能會威脅到未來的運營和品牌形象?；趯?Microsoft Azure 基礎架構和服務的長期投資，該公司與 IBM 合作開啟了重塑網絡安全性旅程從手動、被動的安全態勢轉變為主動預測可能發生的事件。該流程采用一種全面的“安全設計”方法，在整個運營流程中嵌入安全功能并整合安全控制，從制造/OT 和企業/IT，到合理化互聯

16、產品供應商，再到企業的招聘和培訓實踐。對于這家 OEM 來說，這相當于一種全新的思維方式。該公司不是在安全漏洞出現后才去修補，而是將安全作為連接車隊與后端服務、供應商生態系統與工廠車間的基本要素，包括為其代碼庫做出貢獻的軟件供應商。11 轉型路線圖預計會在未來三年內將風險減少一半。9分散管理網絡風險和供應鏈風險的后果大多數組織的風險管理都處于一種各自為戰的分散狀態。不過，重大風險通常具有跨職能的性質，因此不會遵循組織邊界，尤其是管理物理和數字供應鏈的組織邊界。盡管物理供應鏈和數字供應鏈都對收入有巨大的貢獻（見圖 4），但組織缺乏將兩者風險責任聯系在一起的整體視圖。70%的受訪高管表示，物理風險

17、和網絡風險由組織的不同部門管理，因此可能會忽視或低估物理和數字威脅向量的共同風險。挑戰二：管理分散圖 4供應鏈大部分已經實現數字化。問：估計貴組織的收入通過以下方式實現和達成的比例：通過物理供應鏈、通過數字供應鏈以及通過兩者的組合。2023 年。由于四舍五入，百分比總數不等于 100%。35%通過物理供應鏈34%通過結合兩者30%通過數字供應鏈數字供應鏈占組織收入的近 2/3組織收入百分比10機遇：利用 AI 和自動化改善內部可視性和協同能力，從而推動外部成效。通過適當的治理，數字價值鏈可以提高可見性并推動有效協同，從而超越組織內的職能邊界并增強整個供應商體系的能力。依托于云服務、物聯網和 A

18、I 等技術，互聯互通的供應商體系可促進實時通信、協作、治理和數據共享。這些關鍵能力將推動整個供應鏈和生態系統合作伙伴進行有效協同，從而大幅提升生產效率和規模。從更具體的層面來看，物理和數字風險以及整個物理和數字供應鏈的負責人員是誰？根據 IBM 商業價值研究院的調研，這些職責分散在高管團隊中（見圖 5）。并沒有一位高管能夠全面掌控所有潛在風險。職位名稱可能因公司規模和組織結構而異，但如果風險管理和供應鏈運營由傳統職能部門來組織，則整個企業的協同就會很困難。對于難以與生態合作伙伴保持同步的組織來說，這是一項更為嚴峻的挑戰。對于許多組織來說，不同部門之間往往缺乏溝通 這為安全和供應鏈領導者帶來了一

19、項重大挑戰。圖 5風險和供應鏈職責分散在高管團隊中，因此難以建立涵蓋物理和數字領域的整體視圖。物理數字物理 數字 風險供應鏈CEOCDOCIOCOOCISOCROCTOCSCO各領域主要負責人的領導職位11-20%21-30%31-40%41-50%51-60%0-10%問：請指出負責物理風險、數字風險、物理供應鏈、數字供應鏈的最高級管理人員。1011問：貴組織在增強供應鏈韌性方面最優先的網絡投資是什么？問：貴組織在增強供應鏈韌性方面最優先的投資是什么？最主要的 網絡安全投資安全 AI 和自動化 53%威脅檢測和事件響應 52%最主要的 供應鏈韌性投資54%AI 運營和數據集成圖 6企業高管正

20、在優先采用先進技術來增強運營韌性，從而改善協作。監管合規性 50%大多數(84%)受訪組織表示在構建安全互聯生態系統方面進行了中等程度到重大程度的投資；事實上，這些組織側重于利用先進技術來改善供應鏈和網絡防御能力（見圖 6）。在增強供應鏈韌性的安全和運營投資中，AI 位于優先級列表的榜首（請參閱第 15 頁的“觀點：生成式 AI 助力保障生態系統安全”）。11網絡風險管理 48%安全分析/遙測 44%網絡人才 42%數據安全、加密、完整性、治理 37%合作伙伴整合和 生態系統級別安全 10%48%托管服務提供商43%IT 架構38%IT/IS 協同與治理38%變革型軟件解決方案30%供應商采購

21、實踐28%基礎架構平臺和服務24%業務連續性和災難恢復12超過一半(54%)的受訪組織表示正在運營中利用 AI 和數據集成，從而提高整個供應鏈的效率、可預測性和響應能力。受訪高管還表示正在專注于構建更加現代化、可擴展且可靠的 IT 基礎架構，相關的投資包括托管服務提供商(48%)和 IT 架構(43%)。云平臺構建于標準設計模式和通用治理框架之上，因此有助于增強洞察、協作和自動化。在網絡安全投資方面，安全 AI 和自動化(53%)位居第一，其次是威脅檢測和事件響應(52%)。借助 AI 賦能的自動化，組織可以建立更具預防性和主動性的安全態勢，同時改善洞察力、生產力和規模經濟。12 而 AI 賦

22、能的運營則有助于推動建設安全運營中心(SOC)，并借助合作伙伴逐漸實現虛擬安全運營中心。但組織需要更多地關注更新其運營治理和支持實踐，而不僅僅是投資新技術?，F代運營模式的真正考驗在于如何無縫擴展能力，以覆蓋整個供應商體系并延伸到生態系統環境中。13 運用責任共擔模式來管理供應鏈安全有助于每個供應鏈參與者為維護整體安全態勢的完整性和安全性做出貢獻從價值鏈、供應鏈到合作伙伴生態系統（見圖 7）。這樣一來，供應商體系就成為了更強韌性的來源，而不是更大的風險。企業領導者正朝著這個方向砥礪前行：58%的受訪高管認為價值鏈、供應鏈和生態系統是相互關聯的。受訪者還認識到讓合作伙伴參與風險管理的重要性：70%

23、的受訪高管表示，通過將合作伙伴整合到自身的風險和治理模型中，其組織增強了供應鏈韌性?，F代運營模式的真正考驗在于如何無縫擴展能力，以覆蓋整個供應商體系并延伸到生態系統環境中。13價值鏈+供應鏈+生態系統規模x1x10 x100重點價值創造和效率協同和履行擴展能力和編排輸入/輸出已知且通常不變高容量、專用、定制動態；可按需擴展直接線性；通過有序組織來最大化增值活動單向；供應商向客戶提供產品或服務多向；標準化模式和治理意味著中間方可以增加價值設計獨立但模塊化單邊；一方對一方，通常通過中間方多邊；針對復雜的供應商關系進行優化方向速度、消除摩擦和浪費容量和韌性通過標準和治理來改進效率和態勢管理風險遏制和

24、緩解風險以防止破壞價值轉移風險；供應商承擔不確定性，但買方承擔影響風險共擔；盡可能分散不確定性和影響圖 7價值鏈、供應鏈和生態系統正在并行發展。1314行動：加強組織內部以及與供應商共同承擔供應鏈安全責任的模式。1.召集高管團隊共同明確期望，并分配資源來支持改進跨職能協作，從而增強供應鏈韌性。定義標準并設定協同、溝通和治理的期望。2.組建團隊并指定流程負責人來調查在組織內和重要供應商中如何處理安全責任。定義標準、政策和相關控制措施來維持強大的安全態勢，詳細明確利益相關者、流程負責人、供應商和合作伙伴的期望。確定應如何管理這些職責，以及如何將疏忽轉變為改進的來源。3.創建所有直接供應商的清單，并

25、列出對內部和外部系統、服務和數據存儲的訪問權限。要求重要供應商為其直接供應商（您的第 n 方供應商）創建類似的依賴關系圖。4.當部署新的供應商平臺時，利用投標和采購流程來改進整個供應商體系的可見性、可追溯性和網絡治理實踐。通過應用責任共擔模式來管理供應鏈安全，供應商就成為了更強韌性的來源，而不是更大的風險。15觀點生成式 AI 助力保障生態系統安全根據 IBM 商業價值研究院近期的一項調研，96%的受訪美國高管表示，采用生成式 AI 可能會在未來三年內導致其組織出現安全漏洞。14 而這次最新調研的受訪者則表現得更樂觀。只有 39%的受訪者預計生成式 AI 會對其運營安全性和韌性構成重大風險，而

26、 52%的受訪者認為生成式 AI 的好處將超過任何潛在風險（見圖）。這項技術為網絡犯罪分子提供了新的工具，同時也能為防御者提供更高級的功能來檢測和應對攻擊。15作為整體安全戰略的一部分，生成式 AI 可以在增強供應鏈韌性方面發揮重要作用，包括加快供應商評估和管理實踐、支持協同事件響應的模擬和規劃、自動執行日常任務以減輕人為錯誤的影響，以及為供應鏈系統提供實時監控，以便及時發出安全問題警報。隨著能力日趨成熟，生成式 AI 將變得更加以行動為導向 編寫和修正代碼、檢查代碼庫，以及幫助定義和監控安全策略與控制措施。一項研究表明，生成式 AI 將編寫代碼的完成時間縮短了 35%至 45%。16超過一半

27、的受訪者(55%)看到了生成式 AI 在變革供應鏈運營方面的潛力。在當前或未來 12 個月內，企業投資部署生成式 AI 的主要供應鏈用例包括提高運營效率，例如資源分配、風險管理（包括網絡安全），以及增強可視性以改進預測和決策能力。更長期的目標則包括合規管理和物流，例如機器人、無人機和自動駕駛汽車。共同推動網絡安全和供應鏈運營轉型高管們對生成式 AI 持樂觀狀態，但預期略為保守。問：考慮貴公司未來三年的戰略，您在多大程度上同意以下關于生成式 AI 的陳述？62%生成式 AI 將變革網絡風險和網絡安全能力55%生成式 AI 將變革供應鏈運營52%生成式 AI 的好處超過風險45%生成式 AI 將變

28、革我們的生態合作方法39%生成式 AI 對運營安全性和韌性構成重大風險1516許多供應鏈合作伙伴的安全實踐較差如果供應鏈的安全性取決于其最薄弱的環節，那么不遵守組織安全準則的合作伙伴就會使整個供應鏈變得脆弱。然而，對于受訪高管來說，安全實踐并不是選擇供應商的主要考慮因素。事實上，成本才是其首要決定因素，其重要性要比風險暴露、信息安全、監管合規和韌性等因素高出 23%（見圖 8）。不過，采購成本上的任何財務節省可能是短暫的，因為從長遠來看，忽視供應商的安全實踐可能會導致更高的延遲成本。隨著時間的推移，較低的風險和韌性可視性可能會推高運營支持成本，而在風險和韌性方面的投資則有助于降低這些成本（請參

29、閱第 20 頁的“觀點：累積風險如何將組織置于險境”）。挑戰三：最薄弱的環節圖 8從長遠來看，在選擇供應商時優先考慮成本而不是風險和韌性因素可能會產生更高的成本。64%成本52%績效49%靈活性45%品牌價值45%風險暴露44%監管合規42%服務質量40%互操作性40%信息安全35%韌性65%60%55%50%45%40%35%問：選擇供應商時最重要的因素是什么？17即使在評估供應商風險時，只有約一半的受訪者會將數據和信息安全納入采購流程。這遠低于品牌聲譽和財務報告這兩項主要因素，而這兩者都無法提供真實可見的風險管理實踐（見圖 9）。問：貴組織如何評估潛在供應商的風險（定量）？問：貴組織如何評

30、估潛在供應商的風險（定性）？定性定量圖 9在評估供應商風險時，只有一半的受訪者會考慮數據和信息安全。50%50%0%81%聲譽監管合規公司治理法律實踐勞動力實踐倫理和誠信實踐遵守行業標準數據和信息安全技術標準運營健康和安全因素外國所有權和影響關鍵供應商財務報告實踐71%58%51%51%51%50%49%46%43%42%35%35%19%13%41%27%44%13%22%41%53%46%54%14%38%60%77%18最令人擔憂的是，受訪組織表示其供應商對網絡風險管理推薦實踐的采用率較低（見圖 10）。例如，只有略高于一半的受訪組織表示會對其直接和間接供應商進行風險態勢評估。盡管這是一

31、項最常見的實踐，它不過是改善組織整體風險態勢的最低標準。在供應商引導方面，只有不到一半的受訪者使用了所有其他評估實踐。量化風險暴露執行定期盡職調查評估供應商的關鍵依賴關系建立共同的補救/響應程序盤點關鍵資產/服務評估運營治理量化風險暴露評估軟件來源評估采購實踐和控制評估供應商潛在攻擊面開展事件響應演練問：在您的直接供應商中，日常運營中采用了哪些領先實踐？問：在您的間接供應商中，日常運營中采用了哪些領先實踐？直接間接圖 10理解供應商風險暴露：不成熟的網絡風險評估實踐會導致更大的下游漏洞。55%47%43%41%40%39%35%33%32%30%30%58%39%32%35%26%46%41%

32、28%25%27%27%100%100%0%1819安全測試和驗證執行臨時代碼完整性檢查和審查 32%在預定義檢查點進行代碼審查 30%驗證生成式 AI 輸入和輸出的完整性 30%測試各個軟件組件的完整性 27%使用滲透測試查找漏洞 15%圖 11受訪者仍處于采用軟件供應鏈安全最佳實踐的早期階段。問：您在組織中采取了哪些措施來保障軟件供應鏈安全？基礎設施和軟件管理標準化軟件治理 37%理解開源組件的依賴關系 32%創建軟件組件清單 29%要求提供軟件物料清單(SBOM)27%實施靜態或不可變的基礎設施實踐 20%訪問控制和合規性實施持續合規實踐 29%記錄政策或控制中的疏漏 28%為第三方合作

33、伙伴實施軟件質量控制 24%部署訪問控制和最小權限原則 22%運營實踐與原則實施持續監控功能 32%采用 DevSecOps 原則和實踐 29%將運營韌性實踐融入運營 24%我們調研的受訪者在其軟件供應鏈管理實踐方面也反映出類似的不成熟水平。盡管采用了一些領先實踐，但受訪者僅處于其采用的早期階段（見圖 11）。我們以訪問控制和合規措施為例。只有 22%的受訪者表示其組織部署了訪問控制和最小權限原則來保護軟件供應鏈。IBM X-Force 威脅情報團隊指出，這導致各種層出不窮的攻擊方法都將軟件供應鏈作為目標。最近的一項調研表明，使用有效憑證的攻擊量同比大幅增長(+71%)，這些憑證通過暗網銷售，

34、讓攻擊者從黑客攻擊轉向登錄攻擊。17 如果沒有強大的風險文化來主動識別和管理供應商和軟件漏洞，供應鏈韌性仍將無從談起。20隨著風險因素的增加，累積風險成為一個日益嚴重的問題。2021 年至 2023 年期間影響運營的因素49%45%42%40%40%40%39%35%28%25%技術型人才的可用性貿易環境的變化疫情/健康影響獲取資本第三方故障原材料短缺網絡安全事件能源中斷氣候相關事件政治不確定性嚴重：中斷對持續業務運營造成了持久而重大的影響顯著：需要采取非常措施來應對，并對業務產生了顯著影響問：2021 年至 2023 年期間，以下因素對運營產生了什么樣的影響？表示產生“顯著”或“嚴重”影響的

35、受訪者比例。韌性不能止于保持警惕。運營中斷通常是由各種復雜、連續的風險所導致的，這些風險難以通過標準風險模型進行預測。過去五年的經驗明確表明，風險是逐漸出現的，然后由于無法預見的多項因素而突然爆發，從而引發連鎖反應，對整個供應鏈上下游造成嚴重破壞。18 比如，想象一下勒索軟件攻擊加上人才短缺，再加上災難性的天氣事件，然后一條航運路線堵塞，需要繞行很長一段距離。隨著對數字服務的依賴日益增加，風險迅速擴展到 IT/IS 領域以外，從而擾亂核心運營和創收（見圖）。大約三分之一的受訪者表示曾受到多項風險因素的顯著影響，這意味著需要采取非常措施來應對相應風險。還有一小部分但為數不少的受訪者表示遭遇了更為

36、嚴重和持久的中斷。20觀點累積風險如何將組織置于險境21因嚴重影響因素而面臨的預計收入風險組織規模低+1 風險因素平均+1 風險因素高+1 風險因素低+4 風險因素平均+4 風險因素高+4 風險因素平均年收入 1.2 億至 8.38 億美元3,700 萬美元7,100 萬美元1.256 億美元1.605 億美元2.746 億美元4.133 億美元平均年收入 8.38 億至 52 億美元1.517 億美元2.91 億美元5.158 億美元4.729 億美元8.093 億美元12.2 億美元平均年收入 52 億至 161 億美元6.486 億美元12.4 億美元22 億美元29.9 億美元51.1

37、 億美元76.9 億美元平均年收入 161 億至 2,025 億美元23.4 億美元44.9 億美元79.6 億美元85.9 億美元147 億美元221.2 億美元多重嚴重風險危及大量收入未來十年，隨著新型貿易關系的出現，供應鏈運營可能會發生巨變。即使組織從復雜的供應鏈轉向安全、具有韌性的生態系統，也會出現各種新的不確定性因素，也需要更加關注各種新的風險。19 尤其令人擔憂的是，我們懷疑運營受到顯著影響的組織中有較高比例可能已經達到管理多重風險的能力極限。只要外加一點沖擊，就可能令這些組織落入“嚴重運營影響”的類別，從而導致收入受到巨大影響。根據我們的分析，風險因素的增加可能會意外地迅速演變成

38、一場毀滅性的大規模中斷，在最嚴重的情況下會危及超過 75 的收入?；谑茉L者對上述每個風險因素對收入影響的估計，我們的分析表明，那些受到多重嚴重風險困擾的組織必須要面對令人擔憂的收入風險：小型組織每年有 1.605 億美元的收入面臨風險，大型組織每年有超過 220 億美元的收入面臨風險。對于一些組織來說，當前的形勢已經再糟糕不過了 高風險環境疊加經濟不確定性帶來了極其嚴峻的挑戰。受訪者表示，過去三年（2021 年至 2023 年期間），其組織的平均收入增長率下降了 55%，利潤下降了 49%。21注：“低”、“平均”和“高”基于受訪者對特定事件影響運營的一系列問題的回答：對于被歸類為“嚴重”的

39、沖擊，貴組織有多少百分比的收入面臨風險？數字為四舍五入22機遇：為直接和間接供應商營造強大、共同的安全文化，增強整個供應商體系的韌性。未來，組織需要將安全意識作為文化基石，在整個運營環境中加強網絡風險管理、安全和韌性。這意味著采取整體方法來管理供應鏈、網絡安全生命周期和 IT/IS 支持生態系統。為了遏制風險和漏洞，組織應當在內部和供應商網絡中采用零信任原則。這正是“安全設計”方法的實際應用。由于各種新的威脅向量可能會在運營生命周期的不同階段出現，因此組織應當著重采用端到端的網絡風險和網絡安全方法，涵蓋從初始設計、材料采購、供應商選擇、分銷到最終用戶運營支持的整個周期。我們的分析表明，這種轉變

40、始于加強組織自身對軟件供應鏈管理最佳實踐的采用，包括遵守最新法規，例如汽車行業采用的法規。20那些更有效采用這些實踐的受訪者正從強大的軟件安全實踐中獲益。這些組織在其供應商體系中遇到運營中斷的幾率明顯較低（見圖 12）。其次，出于自身利益考慮，企業高管必須通過適當的投資，支持業務合作伙增強風險管理和應對能力。更廣泛地采用供應商評估、選擇和采購流程時，應納入對安全漏洞控制以及風險相關績效指標的評估，最好是側重于嚴重性和潛在風險收入的指標。這可能還要采用新的軟件質量和驗證標準。21為了遏制風險和漏洞，組織應當在內部和供應商網絡中采用零信任原則。2317161514131211=4.005.006.

41、007.00+圖 12對于軟件安全實踐更好的組織，其運營中斷減少了 27%?；?IBM IBV 分析。運營中斷指數（y 軸）是根據一系列常見風險因素來衡量組織中斷傾向的綜合指標。x 軸代表軟件供應鏈安全實踐采用情況的綜合得分。分數越高則表示軟件供應鏈領先實踐的采用程度越高。這對應于更低的運營中斷發生率。運營中斷指數更好的安全實踐可減少運營中斷減少 27%16.513.412.712.123軟件供應鏈安全實踐（綜合得分）24IBM 商業價值研究院的分析還表明，采購模式可能在運營韌性中發揮著重要作用。我們發現，對于中度依賴供應商的組織（即戰略供應商關系占收入的 50%-75%），其運營中斷發生率

42、降低了 17%（見圖 13）。25242322212019運營中斷指數供應商依賴程度圖 13一些組織在其供應商采購模式中找到了最佳平衡點，可將運營中斷減少 17%?；?IBM IBV 對“您如何描述貴組織的供應鏈采購模式？”這一問題的分析。運營中斷指數（y 軸）是根據一系列常見風險因素來衡量組織中斷傾向的綜合指標。戰略供應商的定義是“提供對于您的業務成功至關重要的商品或服務的公司”。正確的采購模式可以減少運營中斷。17%差值24.223.520.023.7高度獨立于供應商組織依賴戰略供應商獲得的收入少于 25%中度獨立于供應商組織依賴戰略供應商獲得的收入達到 25%至 50%中度依賴于供應商

43、 組織依賴戰略供應商獲得的收入達到 50%至 75%高度依賴于供應商組織依賴戰略供應商獲得的收入超過 75%25我們懷疑這是因為中度依賴供應商的采購模式是一種富有吸引力的折衷方案。組織可以通過密切的合作伙伴關系獲得規模經濟、標準化和治理，同時保留一定的靈活性，以避免供應商鎖定或與極少供應商相關的風險集中。這種中度供應商依賴、共同投資和共擔責任的完美平衡，構成了一個安全、互聯的生態系統，也就不足為奇了。對于許多組織來說，這或許是增強供應鏈韌性的最便捷途徑。行動：將營造強大的安全文化列為第一優先要務。1.安排一場研討會，為 IT/IS 員工和合作伙伴啟動一項安全意識、行為和文化倡議。2.審查并更新

44、現有政策，在其中納入軟件供應鏈最佳實踐。制定并傳達新的采購標準，并為各種領先實踐實施安全控制措施，例如供應商安全評估、SBOM 治理、軟件測試和代碼質量審查等。3.查看美國國家標準與技術研究院(US NIST)關于網絡安全供應鏈風險管理的框架，了解您的組織可以采用哪些領先實踐。224.優先選擇具有安全意識的供應商。首先，選擇三家關鍵供應商并評估其核心安全實踐（包括是否采用零信任架構）以及相關的績效和服務水平。評估合同條款是否包含遵守安全標準或績效閾值方面的內容。根據定期安全審計來持續監控合規情況。中度依賴供應商的組織正在有效分擔責任他們是安全、互聯生態系統中的重要合作伙伴。26Kaivan K

45、arimi 移動合作伙伴關系以及制造與移動 OT 安全 M Campos 全球網絡戰略與風險執行合伙人網絡安全服務，IBM C Drummond網絡安全服務合伙人 IBM ConsultingBrett.D Parham全球安全研究負責人兼 CIO IBM 商業價值研究院 Wilkins、Lily Patel、Kristin Biron、Sara Aboulhosn、Nagi Punyamurthula、Richard Hogan、Teresa Suarez、Allie Powell、Evelyn Anderson、Charles Chang、Liam Cleaver 和 Dimple Ahl

46、uwalia。相關報告CEO 生成式 AI 行動指南：網絡安全CEO 生成式 AI 行動指南：網絡安全 IBM 商業價值研究院，2023 年 11 月 https:/ IBM 商業價值研究院，2022 年 8 月 https:/ IBM 商業價值研究院，2023 年 2 月 https:/ 商業價值研究院IBM 商業價值研究院(IBM IBV)成立二十年來，憑借 IBM 在商業、技術和社會交叉領域的獨特地位，每年都會針對成千上萬高管、消費者和專家展開調研、訪談和互動，將他們的觀點綜合成可信賴的、振奮人心和切實可行的洞察。需要 IBV 最新研究成果，請在 上注冊以接收 IBV 的電子郵件通訊。您

47、可以在 Twitter 上關注 IBMIBV，或 通 過 https:/ibm.co/ibv-linkedin 在 LinkedIn 上聯系我們。訪問 IBM 商業價值研究院中國官網，免費下載研究報告：https:/ 商業價值研究院與牛津經濟研究院合作，對 2,000 名負責供應商管理、供應商采購和生態系統合作伙伴關系的高管開展了一項調研。調研采用雙盲方式，受訪者并不知道是哪些組織正在開展這項調研，IBM 或微軟也不知道各個受訪者的身份。調研對象包括以下角色的高管（或其等同職位）：主要負責生態系統戰略的高級管理人員（CEO、總裁、首席戰略官、首席運營官、總經理）、CISO、CIO、CTO、首席

48、供應鏈官、首席風險官、首席采購官，以及信息安全職能部門、信息技術職能部門和供應鏈職能部門的高級管理人員（副總裁或以上）。受訪者來自 31 個國家的 16 個行業：銀行業、公共部門、汽車業（OEM 和供應商）、化工和石油業（包括石油和天然氣）、電子產品、工業產品、消費品、能源和公用事業、金融市場、醫療保?。ǚ仗峁┱吆椭Ц斗剑?、保險業、生命科學/制藥、電信、零售業、交通運輸業和旅游業。受訪者的篩選標準如下：來自“正在很大程度上”實施安全供應鏈功能的組織，并且對其組織的供應鏈采購和方法“極其熟悉”。對結果進行分析以確定安全實踐與積極業務成效（例如增強運營韌性）之間的重要關系。某些情況下，回復結果會

49、與類似項組合成一個綜合指數，然后一起進行分析，以理解更復雜的現象，如組織的運營中斷傾向或軟件供應鏈實踐的綜合影響。在估算組織面臨的收入風險時，計算依據是歸類為“嚴重”的各個風險因素的相對財務影響。組織因多個風險因素而面臨的財務風險暴露是通過以下計算方法得出的：將各個風險因素相加，然后根據組織的總收入估算財務影響?！捌骄惫浪阒祷趯儆谥付ㄊ杖胨姆治粩捣植挤秶慕M織的平均值?！暗汀惫浪阒凳蔷哂凶钚∝攧沼绊懙母鱾€風險因素的組合?！案摺惫浪阒凳蔷哂凶畲筘攧沼绊懙母鱾€風險因素的組合。281 Overby,Stephanie.“Cybercrime-as-a-Service:Commoditizatio

50、n Fuels Threat Surge.”Mimecast.April 18,2022.https:/ Disparities and Growing Threats Cloud Global Cybersecurity Outlook for 2024.”World Economic Forum news release.January 11,2024.https:/www.weforum.org/press/2024/01/wef24-global-cybersecurity-outlook-2024/3 Mills,Karen G.,Elisabeth B.Reynolds,and M

51、organe Herculano.“Small Businesses Play a Big Role in Supply-Chain Resilience.”Harvard Business Review.December 6,2022.https:/hbr.org/2022/12/small-businesses-play-a-big-role-in-supply-chain-resilience4 Close Encounters of the Third(and Fourth)Party Kind.Security Scorecard and Cyentia Institute.Febr

52、uary 2023.https:/ Cost of a Data Breach Report 2023.IBM Security and the Ponemon Institute.July 2023.https:/ is a supply chain?”TechTarget.Accessed May 6,2024.https:/ is software supply chain security?”Red Hat.Accessed May 6,2024.https:/ 7“Widening Disparities and Growing Threats Cloud Global Cybers

53、ecurity Outlook for 2024.”World Economic Forum news release.January 11,2024.https:/www.weforum.org/press/2024/01/wef24-global-cybersecurity-outlook-2024/8“Shifting the Balance of Cybersecurity Risk:Principles and Approaches for Security-by-Design and-Default.”Cybersecurity and Infrastructure Securit

54、y Agency.April 13,2023.https:/www.cisa.gov/sites/default/files/2023-04/principles_approaches_for_security-by-design-default_508_0.pdf9 IBM internal case study.10 Karimi,Kaivan.“The security cultural transformation of the automotive industry.”Microsoft blog.October 31,2023.https:/ the Car|Volume 1.Mo

55、torTrend+BlackBerry.2023.https:/ Introduction.”UNECE Sustainable Development Goals website.https:/unece.org/wp29-introduction;ISO/SAE 21434:2021.Road vehicles:Cybersecurity engineering.ISO.August 2021.https:/www.iso.org/standard/70918.html11“Vehicle Manufacturers Need to Know Whats Inside Their Supp

56、liers Code.”Argus.February 27,2022.https:/argus- Fisher,Lisa and Gerald Parham.AI and automation for cybersecurity:How leaders succeed by uniting technology and talent.IBM Institute for Business Value.May 2022.https:/ibm.co/ai-cybersecurity13 Rajasekharan,Mahesh.“Need A Strategy For Driving Supply C

57、hain Convergence?Think Ecosystem-First.”Forbes.August 29,2023.https:/ CEOs guide to generative AI:Cybersecurity.IBM Institute for Business Value.October 2023.https:/ibm.co/ceo-generative-ai-cybersecurity15 Warren,Tom.“Microsoft and OpenAI say hackers are using ChatGPT to improve cyberattacks.”The Ve

58、rge.February 14,2024.https:/ coding boost from AI.”McKinsey.July 21,2023.https:/ X-Force Threat Intelligence Index 2024.IBM Security.February 2024.https:/ RiskN:The Era of Exponential Risk.Moodys.2023.https:/ Ibid.20 Karimi,Kaivan.“The security cultural transformation of the automotive industry.”Mic

59、rosoft blog.October 31,2023.https:/ is ASPICE?”APTIV.August 11,2022.https:/ Secures Supplier Ecosystem with Coding Standards.”EPSNews.September 7,2018.https:/ the Nations Cybersecurity:NISTs Responsibilities Under the May 2021 Executive Order.”NIST.2021.https:/www.nist.gov/itl/executive-order-14028-

60、improving-nations-cybersecurity;“Software Cybersecurity for Producers and Purchasers.”NIST.2022.https:/www.nist.gov/itl/executive-order-14028-improving-nations-cybersecurity/software-cybersecurity-producers-and備注和參考資料 29 Copyright IBM Corporation 2024國際商業機器（中國）有限公司 北京市朝陽區金和東路 20 號院 3 號樓 正大中心南塔 12 層

61、郵編：100020美國出品|2024 年 7 月IBM、IBM 徽標和 是 International Business Machines Corporation 在世界各地司法轄區的注冊商標。其他產品和服務名稱可能是 IBM 或其他公司的商標。以下 Web 站點上的“Copyright and trademark information”部分中包含了 IBM 商標的最新列表： 可能隨時對其進行更改。IBM 并不一定在開展業務的所有國家或地區提供所有產品或服務。本文檔內的信息“按現狀”提供，不附有任何種類的（無論是明示的還是默示的）保證，包括不附有關于適銷性、適用于某種特定用途的任何保證以及非

62、侵權的任何保證或條件。IBM 產品根據其提供時所依據的協議條款和條件獲得保證。本報告的目的僅為提供通用指南。它并不旨在代替詳盡的研究或專業判斷依據。由于使用本出版物對任何企業或個人所造成的損失，IBM 概不負責。本報告中使用的數據可能源自第三方，IBM 并未對其進行獨立核實、驗證或審查。此類數據的使用結果均為“按現狀”提供，IBM 不作出任何明示或默示的聲明或保證。Microsoft 是 Microsoft Corporation 在美國和/或其他國家或地區的商標。PNKRGA15-ZHCN-03選對合作伙伴，駕馭多變的世界在 IBM，我們積極與客戶協作，運用業務洞察和先進的研究方法與技術，幫助他們在瞬息萬變的商業環境中保持獨特的競爭優勢。關于研究洞察研究洞察致力于為業務主管就公共和私營領域的關鍵問題提供基于事實的戰略洞察。洞察根據對自身主要研究調查的分析結果得出。要了解更多信息，請聯系 IBM 商業價值研究院：掃碼關注 IBM 商業價值研究院官網微博微信公眾號