《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 警惕供應(yīng)鏈安全:判斷供應(yīng)商安全性的十種方法

警惕供應(yīng)鏈安全:判斷供應(yīng)商安全性的十種方法

2021-07-25
來(lái)源:工控安全漫談
關(guān)鍵詞: 供應(yīng)鏈 安全 十種

  自SolarWinds供應(yīng)鏈攻擊事件以來(lái),,人們?cè)絹?lái)越關(guān)注各種規(guī)模的組織如何確保其供應(yīng)商的安全。事實(shí)證明,,無(wú)論規(guī)模大小,,各類(lèi)組織都淪為了供應(yīng)鏈攻擊的受害者。即便是坐擁政府資源和資金的美國(guó)財(cái)政部和國(guó)土安全部同樣難逃魔爪——它們也在SolarWinds攻擊事件中受到了影響,。

  遺憾的現(xiàn)實(shí)是,,供應(yīng)鏈攻擊并不會(huì)消失。2021年第一季度,,137家組織報(bào)告稱(chēng)在27家不同的第三方供應(yīng)商處遭受了供應(yīng)鏈攻擊,,而供應(yīng)鏈攻擊的數(shù)量比上一季度增長(zhǎng)了42%。

  這就引出了一個(gè)問(wèn)題:當(dāng)供應(yīng)鏈攻擊的威脅越來(lái)越大時(shí),,企業(yè)應(yīng)該如何降低風(fēng)險(xiǎn),?

  評(píng)估供應(yīng)商風(fēng)險(xiǎn)的10個(gè)最佳實(shí)踐

  雖然不能保證企業(yè)可以在供應(yīng)鏈攻擊發(fā)生之前檢測(cè)到它,但企業(yè)可以考慮下述10項(xiàng)最佳實(shí)踐,,來(lái)幫助降低風(fēng)險(xiǎn)并驗(yàn)證其供應(yīng)鏈的安全性,。

  評(píng)估如果供應(yīng)商的IT基礎(chǔ)設(shè)施受到損害,每個(gè)供應(yīng)商可能對(duì)您的業(yè)務(wù)產(chǎn)生的影響,。

  雖然進(jìn)行全面風(fēng)險(xiǎn)評(píng)估是首選,,但規(guī)模較小的組織可能沒(méi)有資源和能力進(jìn)行評(píng)估。不過(guò),,他們至少應(yīng)該分析最壞的情況并了解以下問(wèn)題:

  針對(duì)該供應(yīng)商系統(tǒng)的勒索軟件攻擊將如何影響我的業(yè)務(wù),?

  如果供應(yīng)商的源代碼被木馬病毒破壞,我的業(yè)務(wù)會(huì)受到什么影響,?

  如果供應(yīng)商的數(shù)據(jù)庫(kù)遭到破壞并且數(shù)據(jù)被盜,,這將如何影響我的業(yè)務(wù)?

  評(píng)估每個(gè)供應(yīng)商的內(nèi)部IT資源和能力,。

  他們是否有由安全經(jīng)理或CISO領(lǐng)導(dǎo)的專(zhuān)門(mén)網(wǎng)絡(luò)安全團(tuán)隊(duì),?確定供應(yīng)商的安全領(lǐng)導(dǎo)很重要,因?yàn)樗麄兛梢曰卮鹉膯?wèn)題。如果團(tuán)隊(duì)不存在此類(lèi)職務(wù)或人員不足,,沒(méi)有真正的領(lǐng)導(dǎo),,您可能需要慎重考慮與該供應(yīng)商的合作問(wèn)題。

  與供應(yīng)商的安全經(jīng)理或CISO會(huì)面,,了解他們?nèi)绾伪Wo(hù)其系統(tǒng)和數(shù)據(jù),。

  這一過(guò)程可以通過(guò)簡(jiǎn)短的會(huì)議、電話,,甚至是電子郵件對(duì)話完成,,具體取決于步驟1中確定的風(fēng)險(xiǎn)。

  索取證據(jù)來(lái)驗(yàn)證供應(yīng)商的主張,。

  滲透報(bào)告是一種有用的方法,。確保測(cè)試范圍是適當(dāng)?shù)模⒃诳赡艿那闆r下,,要求提供兩次連續(xù)測(cè)試的報(bào)告,,以驗(yàn)證供應(yīng)商是否根據(jù)其發(fā)現(xiàn)采取行動(dòng)。

  如果您的供應(yīng)商是軟件供應(yīng)商,,請(qǐng)要求進(jìn)行獨(dú)立的源代碼審查,。

  在某些情況下,供應(yīng)商可能會(huì)要求簽訂保密協(xié)議(NDA)才會(huì)共享完整報(bào)告或可能選擇不共享,。發(fā)生這種情況時(shí),,請(qǐng)索取一份執(zhí)行摘要。

  如果您的供應(yīng)商是云供應(yīng)商,,可以掃描供應(yīng)商的網(wǎng)絡(luò),。

  執(zhí)行Shodan搜索,或要求供應(yīng)商提供他們自己的掃描報(bào)告,。如果您打算自己掃描,,請(qǐng)從供應(yīng)商處獲得許可,并要求他們將客戶(hù)地址與他們自己的地址分開(kāi),,這樣您就不會(huì)掃描到不相關(guān)的內(nèi)容,。

  如果供應(yīng)商是軟件或云供應(yīng)商,查明供應(yīng)商是否正在運(yùn)行漏洞賞金計(jì)劃,。

  這些項(xiàng)目可以幫助組織在攻擊者有機(jī)會(huì)利用漏洞之前找到并修復(fù)漏洞。

  詢(xún)問(wèn)您的供應(yīng)商他們?nèi)绾未_定風(fēng)險(xiǎn)的優(yōu)先級(jí),。

  例如,,通用漏洞評(píng)分系統(tǒng)(CVSS)是一種免費(fèi)且開(kāi)放的行業(yè)標(biāo)準(zhǔn),用于評(píng)估計(jì)算機(jī)系統(tǒng)安全漏洞的嚴(yán)重性并分配嚴(yán)重性評(píng)分,,以便供應(yīng)商可以?xún)?yōu)先考慮風(fēng)險(xiǎn)響應(yīng),。

  索取供應(yīng)商的漏洞修復(fù)報(bào)告。

  他們擁有報(bào)告這一事實(shí)表明了他們對(duì)安全和管理漏洞的承諾。如果可能,,請(qǐng)嘗試獲取由獨(dú)立實(shí)體生成的報(bào)告,。

  步驟1到9應(yīng)該每年重復(fù)一次,具體取決于供應(yīng)商面臨的威脅及其對(duì)企業(yè)的影響,。

  對(duì)于影響較小的供應(yīng)商,,可以稍微放寬頻率;對(duì)于具有高風(fēng)險(xiǎn)且風(fēng)險(xiǎn)會(huì)嚴(yán)重影響企業(yè)業(yè)務(wù)的供應(yīng)商,,企業(yè)可以制定永久性評(píng)估流程,。但是,大型SaaS和IaaS提供商可能不愿意參與正在進(jìn)行的評(píng)估,。

  總結(jié)

  通過(guò)遵循上述推薦的最佳實(shí)踐,,企業(yè)可以識(shí)別與特定供應(yīng)商相關(guān)的風(fēng)險(xiǎn),了解供應(yīng)商如何管理這些風(fēng)險(xiǎn),,并收集有關(guān)供應(yīng)商如何減輕這些風(fēng)險(xiǎn)的證據(jù),。基于此證據(jù)和風(fēng)險(xiǎn)偏好,,企業(yè)可以做出是否與該供應(yīng)商合作的明智決定,。最后,當(dāng)您執(zhí)行這些評(píng)估時(shí),,請(qǐng)以一致性為目標(biāo)并尋找隨時(shí)間變化的風(fēng)險(xiǎn),。

  請(qǐng)記住,我們無(wú)法確??梢宰柚构?yīng)鏈攻擊,,但通過(guò)下一代反惡意軟件防護(hù)來(lái)保護(hù)您自己的環(huán)境,與您的用戶(hù)進(jìn)行持續(xù)的網(wǎng)絡(luò)安全培訓(xùn),,并遵循這些最佳實(shí)踐,,可以降低組織面臨的風(fēng)險(xiǎn)。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。