《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 如何最大限度地降低供應鏈攻擊的風險

如何最大限度地降低供應鏈攻擊的風險

2022-11-13
來源:安全419
關鍵詞: 供應鏈攻擊

  供應鏈攻擊持續(xù)呈上升趨勢,許多企業(yè)似乎不確定如何應對這樣的威脅,Datto第三方風險經(jīng)理Jaime Arze在近期的一次公開分享中,為企業(yè)提出了以下幾個步驟,來最大程度地降低企業(yè)也卷入供應鏈違規(guī)的風險。

  對技術體系進行全面的 IT 審查

  “你無法保護你看不到的東西,”Jaime Arze表示,為了最大限度地減少未知因素,企業(yè)首先需要對 IT 環(huán)境進行全面審計,準確了解到正在使用哪些硬件、軟件和SaaS 產(chǎn)品,包括任何未經(jīng)批準的影子IT資產(chǎn),哪里存在安全漏洞,以及企業(yè)的業(yè)務依都賴哪些供應商和合作伙伴,包括是怎么跟他們的產(chǎn)品工具交互協(xié)作的,從這些產(chǎn)品工具處理的數(shù)據(jù)類型、系統(tǒng)接口和各種集成級別都需要了解清楚。

  接下來,企業(yè)需要評估每個供應商對業(yè)務的重要性。如果存在冗余或者是不必要的,則需要盡快處置解決。同時,應該根據(jù)供應商提供的服務類型,記錄好每一個接入、替換或取消的供應商,保持供應商清單的及時更新和信息準確,這些關系是識別和最小化任何固有風險的起點。

  提出正確的問題

  在評估供應商的安全風險時,企業(yè)需要優(yōu)先考慮那些最重要的供應商,即如果終止合作將對企業(yè)的業(yè)務運營造成更大的損害甚至中斷的合作伙伴。

  企業(yè)不僅要關注供應商提供的產(chǎn)品功能,在安全層面,需要了解您的供應商的安全能力有多強,目前的安全態(tài)勢是怎樣的,他們對易受攻擊的領域有什么理解,他們是如何加強防御的?無論企業(yè)規(guī)模有多小,都應該準備好一系列明確定義的要求,雖然這些問題可能令人不安,但是具體的、有針對性的提問才可能引導出確切的、好的結(jié)果。

  了解到供應商自身的安全態(tài)勢之后,企業(yè)就需要評估他們可能會給自身帶來哪些風險,以及他們正在采取哪些措施來縮小這些差距。企業(yè)的供應鏈組合中的每個供應商都應該能夠解釋他們在如何保護自己和客戶免受攻擊,包括他們?nèi)绾蜗拗茖ο到y(tǒng)的訪問以及他們?nèi)绾渭用軘?shù)據(jù),等等。最基礎的,他們是否遵循了行業(yè)標準,滿足了合規(guī)保護義務,他們能否證明他們正在以與您相一致的方式保護客戶數(shù)據(jù)的機密性、完整性和可用性?供應商應該要能夠展示對其安全性能的獨立審計,或者是相關資質(zhì)、合規(guī)證明等。

  設定對業(yè)務連續(xù)性的期望

  在業(yè)務連續(xù)性和災難恢復方面,設定明確的預期非常重要。一般來說,可用性是企業(yè)最關心、最重要的一個問題,建議在合同中寫入SLA,即雙方就服務的安全品質(zhì)、安全水準、性能安全等方面需要達成明確的的協(xié)議,并且供應商應該有一個充分且記錄良好的安全事件響應計劃。如果他們沒有正式的、經(jīng)過測試的BCDR (容災解決方案)策略可供審查,請準備好共同制定并實施,為下一次安全審查做好準備。

  建立網(wǎng)絡安全文化

  這是一個老生常態(tài)的問題,人仍然是安全中最薄弱的環(huán)節(jié)。為了減輕這種風險,企業(yè)需要建立一種強大的安全文化,該文化建立在廣泛的員工培訓基礎上,并輔以適當?shù)耐{預防和監(jiān)控工具。員工們必須知道如何發(fā)現(xiàn)可疑活動,例如識別網(wǎng)絡釣魚電子郵件,企業(yè)應該并且應始終強烈鼓勵大家報告任何不尋常的事情,無論它看起來多么微不足道。

  持續(xù)管理供應商

  完成初始風險評估后,企業(yè)不要忘記跟進調(diào)查結(jié)果。在建立了識別最關鍵供應商的標準后,還需要采取適當?shù)姆椒▉沓掷m(xù)評估它們,通常來講,第一層的供應商應被視為業(yè)務的延伸,因此應具有與企業(yè)自身設置的政策、程序、流程相似或更好的能力。

  管理供應商是一個持續(xù)的過程,而不是一次性的勾選和判斷,所以要堅持保持透明化的狀態(tài)。企業(yè)的合作伙伴的安全計劃應該朝著正確的方向發(fā)展,他們應該能夠證明他們能夠適應不斷變化的威脅。

  此外,隨著供應商關系的增長,盡職調(diào)查和安全期望的水平也必須提高。每個合同關系都帶有一定程度的責任感,合同中的安全協(xié)議不僅可以通過讓供應商遵守最佳實踐來保護企業(yè)組,它還將為整個關系設定基調(diào)和節(jié)奏,它將使雙方遵守在發(fā)生事故時應滿足的標準。事件響應、數(shù)據(jù)檢索、數(shù)據(jù)所有權和評估權都應事先達成一致。

  總而言之,Jaime Arze強調(diào),企業(yè)可以而且必須要求其供應商提供高質(zhì)量的安全方案。畢竟,值得信賴的供應商的地位不是通過關系的長短來獲得的,而是來自于安全方面的更大的透明度。選擇與合格的供應商合作,找出可能的弱點,并繼續(xù)定期審查自身和他們的防御措施,建立這種信任最終將幫助企業(yè)應對來自供應鏈攻擊的重重風險。



更多信息可以來這里獲取==>>電子技術應用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者。如涉及作品內(nèi)容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。