自SolarWinds供應鏈攻擊事件以來，人們越來越關注各種規(guī)模的組織如何確保其供應商的安全。事實證明，無論規(guī)模大小，各類組織都淪為了供應鏈攻擊的受害者。即便是坐擁政府資源和資金的美國財政部和國土安全部同樣難逃魔爪——它們也在SolarWinds攻擊事件中受到了影響。

　　遺憾的現(xiàn)實是，供應鏈攻擊并不會消失。2021年第一季度，137家組織報告稱在27家不同的第三方供應商處遭受了供應鏈攻擊，而供應鏈攻擊的數(shù)量比上一季度增長了42%。

　　這就引出了一個問題：當供應鏈攻擊的威脅越來越大時，企業(yè)應該如何降低風險？

　　評估供應商風險的10個最佳實踐

　　雖然不能保證企業(yè)可以在供應鏈攻擊發(fā)生之前檢測到它，但企業(yè)可以考慮下述10項最佳實踐，來幫助降低風險并驗證其供應鏈的安全性。

　　評估如果供應商的IT基礎設施受到損害，每個供應商可能對您的業(yè)務產(chǎn)生的影響。

　　雖然進行全面風險評估是首選，但規(guī)模較小的組織可能沒有資源和能力進行評估。不過，他們至少應該分析最壞的情況并了解以下問題：

　　針對該供應商系統(tǒng)的勒索軟件攻擊將如何影響我的業(yè)務？

　　如果供應商的源代碼被木馬病毒破壞，我的業(yè)務會受到什么影響？

　　如果供應商的數(shù)據(jù)庫遭到破壞并且數(shù)據(jù)被盜，這將如何影響我的業(yè)務？

　　評估每個供應商的內(nèi)部IT資源和能力。

　　他們是否有由安全經(jīng)理或CISO領導的專門網(wǎng)絡安全團隊？確定供應商的安全領導很重要，因為他們可以回答您的問題。如果團隊不存在此類職務或人員不足，沒有真正的領導，您可能需要慎重考慮與該供應商的合作問題。

　　與供應商的安全經(jīng)理或CISO會面，了解他們?nèi)绾伪Ｗo其系統(tǒng)和數(shù)據(jù)。

　　這一過程可以通過簡短的會議、電話，甚至是電子郵件對話完成，具體取決于步驟1中確定的風險。

　　索取證據(jù)來驗證供應商的主張。

　　滲透報告是一種有用的方法。確保測試范圍是適當?shù)?，并在可能的情況下，要求提供兩次連續(xù)測試的報告，以驗證供應商是否根據(jù)其發(fā)現(xiàn)采取行動。

　　如果您的供應商是軟件供應商，請要求進行獨立的源代碼審查。

　　在某些情況下，供應商可能會要求簽訂保密協(xié)議（NDA）才會共享完整報告或可能選擇不共享。發(fā)生這種情況時，請索取一份執(zhí)行摘要。

　　如果您的供應商是云供應商，可以掃描供應商的網(wǎng)絡。

　　執(zhí)行Shodan搜索，或要求供應商提供他們自己的掃描報告。如果您打算自己掃描，請從供應商處獲得許可，并要求他們將客戶地址與他們自己的地址分開，這樣您就不會掃描到不相關的內(nèi)容。

　　如果供應商是軟件或云供應商，查明供應商是否正在運行漏洞賞金計劃。

　　這些項目可以幫助組織在攻擊者有機會利用漏洞之前找到并修復漏洞。

　　詢問您的供應商他們?nèi)绾未_定風險的優(yōu)先級。

　　例如，通用漏洞評分系統(tǒng)（CVSS）是一種免費且開放的行業(yè)標準，用于評估計算機系統(tǒng)安全漏洞的嚴重性并分配嚴重性評分，以便供應商可以優(yōu)先考慮風險響應。

　　索取供應商的漏洞修復報告。

　　他們擁有報告這一事實表明了他們對安全和管理漏洞的承諾。如果可能，請嘗試獲取由獨立實體生成的報告。

　　步驟1到9應該每年重復一次，具體取決于供應商面臨的威脅及其對企業(yè)的影響。

　　對于影響較小的供應商，可以稍微放寬頻率；對于具有高風險且風險會嚴重影響企業(yè)業(yè)務的供應商，企業(yè)可以制定永久性評估流程。但是，大型SaaS和IaaS提供商可能不愿意參與正在進行的評估。

　　總結

　　通過遵循上述推薦的最佳實踐，企業(yè)可以識別與特定供應商相關的風險，了解供應商如何管理這些風險，并收集有關供應商如何減輕這些風險的證據(jù)。基于此證據(jù)和風險偏好，企業(yè)可以做出是否與該供應商合作的明智決定。最后，當您執(zhí)行這些評估時，請以一致性為目標并尋找隨時間變化的風險。

　　請記住，我們無法確?？梢宰柚构湽?，但通過下一代反惡意軟件防護來保護您自己的環(huán)境，與您的用戶進行持續(xù)的網(wǎng)絡安全培訓，并遵循這些最佳實踐，可以降低組織面臨的風險。