供應(yīng)鏈攻擊持續(xù)呈上升趨勢(shì)，許多企業(yè)似乎不確定如何應(yīng)對(duì)這樣的威脅，Datto第三方風(fēng)險(xiǎn)經(jīng)理Jaime Arze在近期的一次公開(kāi)分享中，為企業(yè)提出了以下幾個(gè)步驟，來(lái)最大程度地降低企業(yè)也卷入供應(yīng)鏈違規(guī)的風(fēng)險(xiǎn)。

　　對(duì)技術(shù)體系進(jìn)行全面的 IT 審查

　　“你無(wú)法保護(hù)你看不到的東西，”Jaime Arze表示，為了最大限度地減少未知因素，企業(yè)首先需要對(duì) IT 環(huán)境進(jìn)行全面審計(jì)，準(zhǔn)確了解到正在使用哪些硬件、軟件和SaaS 產(chǎn)品，包括任何未經(jīng)批準(zhǔn)的影子IT資產(chǎn)，哪里存在安全漏洞，以及企業(yè)的業(yè)務(wù)依都賴哪些供應(yīng)商和合作伙伴，包括是怎么跟他們的產(chǎn)品工具交互協(xié)作的，從這些產(chǎn)品工具處理的數(shù)據(jù)類型、系統(tǒng)接口和各種集成級(jí)別都需要了解清楚。

　　接下來(lái)，企業(yè)需要評(píng)估每個(gè)供應(yīng)商對(duì)業(yè)務(wù)的重要性。如果存在冗余或者是不必要的，則需要盡快處置解決。同時(shí)，應(yīng)該根據(jù)供應(yīng)商提供的服務(wù)類型，記錄好每一個(gè)接入、替換或取消的供應(yīng)商，保持供應(yīng)商清單的及時(shí)更新和信息準(zhǔn)確，這些關(guān)系是識(shí)別和最小化任何固有風(fēng)險(xiǎn)的起點(diǎn)。

　　提出正確的問(wèn)題

　　在評(píng)估供應(yīng)商的安全風(fēng)險(xiǎn)時(shí)，企業(yè)需要優(yōu)先考慮那些最重要的供應(yīng)商，即如果終止合作將對(duì)企業(yè)的業(yè)務(wù)運(yùn)營(yíng)造成更大的損害甚至中斷的合作伙伴。

　　企業(yè)不僅要關(guān)注供應(yīng)商提供的產(chǎn)品功能，在安全層面，需要了解您的供應(yīng)商的安全能力有多強(qiáng)，目前的安全態(tài)勢(shì)是怎樣的，他們對(duì)易受攻擊的領(lǐng)域有什么理解，他們是如何加強(qiáng)防御的？無(wú)論企業(yè)規(guī)模有多小，都應(yīng)該準(zhǔn)備好一系列明確定義的要求，雖然這些問(wèn)題可能令人不安，但是具體的、有針對(duì)性的提問(wèn)才可能引導(dǎo)出確切的、好的結(jié)果。

　　了解到供應(yīng)商自身的安全態(tài)勢(shì)之后，企業(yè)就需要評(píng)估他們可能會(huì)給自身帶來(lái)哪些風(fēng)險(xiǎn)，以及他們正在采取哪些措施來(lái)縮小這些差距。企業(yè)的供應(yīng)鏈組合中的每個(gè)供應(yīng)商都應(yīng)該能夠解釋他們?cè)谌绾伪Ｗo(hù)自己和客戶免受攻擊，包括他們?nèi)绾蜗拗茖?duì)系統(tǒng)的訪問(wèn)以及他們?nèi)绾渭用軘?shù)據(jù)，等等。最基礎(chǔ)的，他們是否遵循了行業(yè)標(biāo)準(zhǔn)，滿足了合規(guī)保護(hù)義務(wù)，他們能否證明他們正在以與您相一致的方式保護(hù)客戶數(shù)據(jù)的機(jī)密性、完整性和可用性？供應(yīng)商應(yīng)該要能夠展示對(duì)其安全性能的獨(dú)立審計(jì)，或者是相關(guān)資質(zhì)、合規(guī)證明等。

　　設(shè)定對(duì)業(yè)務(wù)連續(xù)性的期望

　　在業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)方面，設(shè)定明確的預(yù)期非常重要。一般來(lái)說(shuō)，可用性是企業(yè)最關(guān)心、最重要的一個(gè)問(wèn)題，建議在合同中寫入SLA，即雙方就服務(wù)的安全品質(zhì)、安全水準(zhǔn)、性能安全等方面需要達(dá)成明確的的協(xié)議，并且供應(yīng)商應(yīng)該有一個(gè)充分且記錄良好的安全事件響應(yīng)計(jì)劃。如果他們沒(méi)有正式的、經(jīng)過(guò)測(cè)試的BCDR （容災(zāi)解決方案）策略可供審查，請(qǐng)準(zhǔn)備好共同制定并實(shí)施，為下一次安全審查做好準(zhǔn)備。

　　建立網(wǎng)絡(luò)安全文化

　　這是一個(gè)老生常態(tài)的問(wèn)題，人仍然是安全中最薄弱的環(huán)節(jié)。為了減輕這種風(fēng)險(xiǎn)，企業(yè)需要建立一種強(qiáng)大的安全文化，該文化建立在廣泛的員工培訓(xùn)基礎(chǔ)上，并輔以適當(dāng)?shù)耐{預(yù)防和監(jiān)控工具。員工們必須知道如何發(fā)現(xiàn)可疑活動(dòng)，例如識(shí)別網(wǎng)絡(luò)釣魚電子郵件，企業(yè)應(yīng)該并且應(yīng)始終強(qiáng)烈鼓勵(lì)大家報(bào)告任何不尋常的事情，無(wú)論它看起來(lái)多么微不足道。

　　持續(xù)管理供應(yīng)商

　　完成初始風(fēng)險(xiǎn)評(píng)估后，企業(yè)不要忘記跟進(jìn)調(diào)查結(jié)果。在建立了識(shí)別最關(guān)鍵供應(yīng)商的標(biāo)準(zhǔn)后，還需要采取適當(dāng)?shù)姆椒▉?lái)持續(xù)評(píng)估它們，通常來(lái)講，第一層的供應(yīng)商應(yīng)被視為業(yè)務(wù)的延伸，因此應(yīng)具有與企業(yè)自身設(shè)置的政策、程序、流程相似或更好的能力。

　　管理供應(yīng)商是一個(gè)持續(xù)的過(guò)程，而不是一次性的勾選和判斷，所以要堅(jiān)持保持透明化的狀態(tài)。企業(yè)的合作伙伴的安全計(jì)劃應(yīng)該朝著正確的方向發(fā)展，他們應(yīng)該能夠證明他們能夠適應(yīng)不斷變化的威脅。

　　此外，隨著供應(yīng)商關(guān)系的增長(zhǎng)，盡職調(diào)查和安全期望的水平也必須提高。每個(gè)合同關(guān)系都帶有一定程度的責(zé)任感，合同中的安全協(xié)議不僅可以通過(guò)讓供應(yīng)商遵守最佳實(shí)踐來(lái)保護(hù)企業(yè)組，它還將為整個(gè)關(guān)系設(shè)定基調(diào)和節(jié)奏，它將使雙方遵守在發(fā)生事故時(shí)應(yīng)滿足的標(biāo)準(zhǔn)。事件響應(yīng)、數(shù)據(jù)檢索、數(shù)據(jù)所有權(quán)和評(píng)估權(quán)都應(yīng)事先達(dá)成一致。

　　總而言之，Jaime Arze強(qiáng)調(diào)，企業(yè)可以而且必須要求其供應(yīng)商提供高質(zhì)量的安全方案。畢竟，值得信賴的供應(yīng)商的地位不是通過(guò)關(guān)系的長(zhǎng)短來(lái)獲得的，而是來(lái)自于安全方面的更大的透明度。選擇與合格的供應(yīng)商合作，找出可能的弱點(diǎn)，并繼續(xù)定期審查自身和他們的防御措施，建立這種信任最終將幫助企業(yè)應(yīng)對(duì)來(lái)自供應(yīng)鏈攻擊的重重風(fēng)險(xiǎn)。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<