五種方法教你如何防御供應(yīng)鏈網(wǎng)絡(luò)攻擊
偷工減料時(shí)有發(fā)生,在高風(fēng)險(xiǎn)、高速的工作中更是如此。但是,如果員工足夠誠(chéng)實(shí)地承認(rèn),當(dāng)他們將易受攻擊的代碼上線時(shí),我們可以將一系列已損壞的產(chǎn)品組合在一起。Osterman Research 的一項(xiàng)新研究發(fā)現(xiàn)了一個(gè)令人擔(dān)憂的趨勢(shì)——81% 的開(kāi)發(fā)人員承認(rèn)故意推送易受攻擊的代碼。這使得威脅行為者更容易發(fā)起網(wǎng)絡(luò)攻擊。
但我們提到這一點(diǎn)并不是為了消極。相反,這是企業(yè)和機(jī)構(gòu)向內(nèi)看的一個(gè)很好的提示。減少供應(yīng)鏈脆弱性始于創(chuàng)建正確的公司文化。開(kāi)發(fā)人員應(yīng)該安全地舉起有關(guān)易受攻擊的代碼的標(biāo)志,即使這意味著可能會(huì)錯(cuò)過(guò)最后期限。否則,開(kāi)發(fā)人員可能會(huì)保持沉默并增加代碼的風(fēng)險(xiǎn)。如果不了解可能存在的漏洞的全貌以及對(duì)事件響應(yīng)的影響,雇主就無(wú)法做出基于風(fēng)險(xiǎn)的決策。這始于一種將網(wǎng)絡(luò)安全內(nèi)置于結(jié)構(gòu)中并且是每個(gè)人的首要任務(wù)的文化。
改變公司文化如何防止網(wǎng)絡(luò)攻擊
然而,一個(gè)人無(wú)法解決問(wèn)題。減少供應(yīng)鏈網(wǎng)絡(luò)攻擊需要團(tuán)隊(duì)合作——確定優(yōu)先事項(xiàng)的商業(yè)領(lǐng)袖、網(wǎng)絡(luò)安全專家與開(kāi)發(fā)人員和開(kāi)發(fā)人員密切合作,將安全性融入到他們的代碼中。等到您已經(jīng)成為供應(yīng)鏈攻擊的受害者或漏洞暴露您的數(shù)據(jù)時(shí)為時(shí)已晚。
以下是開(kāi)始主動(dòng)降低供應(yīng)鏈攻擊風(fēng)險(xiǎn)的五個(gè)關(guān)鍵:
通知開(kāi)發(fā)人員有關(guān)網(wǎng)絡(luò)攻擊的信息
對(duì)于供應(yīng)鏈攻擊,開(kāi)發(fā)人員是第一線。您可能會(huì)想嘗試通過(guò)一年一度的課程或更頻繁的講座來(lái)涵蓋所有基礎(chǔ)知識(shí)。然而,真正最有效的是開(kāi)發(fā)人員持續(xù)更新有關(guān)新網(wǎng)絡(luò)攻擊和最佳實(shí)踐的過(guò)程。通過(guò)使用微培訓(xùn),例如文本培訓(xùn)或短視頻,開(kāi)發(fā)人員既可以獲得他們需要的課程,也可以提高他們的意識(shí)。
監(jiān)控開(kāi)源項(xiàng)目
《2020 年軟件供應(yīng)鏈狀況報(bào)告》發(fā)現(xiàn),在 2019 年至 2020 年間,針對(duì)開(kāi)源代碼的網(wǎng)絡(luò)攻擊增加了 430%。通過(guò)使用對(duì)手模擬參與,組織可以直接了解他們的軟件在攻擊期間的表現(xiàn)如何。開(kāi)發(fā)人員還可以通過(guò)提高庫(kù)、包和依賴項(xiàng)的可見(jiàn)性和安全性來(lái)減少依賴項(xiàng)混淆問(wèn)題,從而降低開(kāi)源開(kāi)發(fā)帶來(lái)的風(fēng)險(xiǎn)。
零信任
由于移動(dòng)部分——數(shù)據(jù)、產(chǎn)品、集成,零信任方法對(duì)于降低供應(yīng)鏈網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)至關(guān)重要。假設(shè)任何設(shè)備、用戶或數(shù)據(jù)都不安全,除非另有證明。這樣,您通常可以減少和消除可能損害供應(yīng)鏈的威脅。
內(nèi)置數(shù)據(jù)保護(hù)
供應(yīng)鏈網(wǎng)絡(luò)攻擊的一個(gè)關(guān)鍵漏洞是應(yīng)用程序中的敏感數(shù)據(jù),這些數(shù)據(jù)必須雙向流動(dòng)。此外,請(qǐng)確保您遵守代碼中的所有數(shù)據(jù)隱私和保護(hù)法律。開(kāi)發(fā)人員應(yīng)該在他們的應(yīng)用程序中構(gòu)建最新的加密技術(shù)。他們還應(yīng)該對(duì)供應(yīng)鏈?zhǔn)褂脭?shù)字簽名、會(huì)話中斷和多因素身份驗(yàn)證。
關(guān)注第三方風(fēng)險(xiǎn)
供應(yīng)鏈的本質(zhì)是組織和應(yīng)用程序協(xié)同工作以進(jìn)行交付。這可能是通過(guò)物理產(chǎn)品或軟件安全。但是,每個(gè)新連接都意味著更多的高風(fēng)險(xiǎn)端點(diǎn)。請(qǐng)務(wù)必仔細(xì)檢查所有集成和風(fēng)險(xiǎn)。畢竟,你無(wú)法保護(hù)你不知道的東西。下一步是與供應(yīng)商和合作伙伴合作,以確保所有各方都遵循網(wǎng)絡(luò)安全最佳實(shí)踐并提前應(yīng)對(duì)風(fēng)險(xiǎn)。
在不久的將來(lái),供應(yīng)鏈攻擊不太可能消退。通過(guò)在您的應(yīng)用程序和文化中構(gòu)建對(duì)此類破壞性網(wǎng)絡(luò)攻擊的彈性,您可以降低風(fēng)險(xiǎn)。
