?“沒有人是一座孤島”這一名句既適用于個人，也適用于企業。企業既是其供應鏈及其所屬生態系統的產物，也是其自身運營的產物——即使是規模最大的企業也需要第三方的支持。

在企業部署的技術堆棧方面，沒有比這更真實的了。雖然基于服務的企業不需要實體供應鏈，因為它不銷售制成品，但它需要一個密集的第三方網絡來為其提供軟件和服務。

隱藏但不斷增長的攻擊面

在安全方面，人們經常談論攻擊面，這也是企業暴露于網絡威脅的那些部分。人們經常會在有關數字化轉型的一些文章中了解這些，而數字化雖然對運營效率和商業增長必不可少，但也會增加風險。

隨著企業將其流程實現數字化，其攻擊面不僅是其現在在線的所有運營部分；它發展到涵蓋其更廣泛的供應商和供應商網絡。

這代表著巨大的風險，根據調查，許多人都沒有考慮到這一風險。雖然56%的企業預計2022年軟件供應鏈受到攻擊的報告事件會增加，但只有34%的企業已正式評估其面臨的這種風險。另一項調查發現，58%的企業無法確定供應商的保障措施和安全政策是否足以防止數據泄露。

更多的軟件意味著更多的風險

不難看出為什么會這樣，因為管理自己的網絡安全比較困難。從保護新的移動用戶（及其端點）到保護傳輸中和靜止的數據，以及確保員工在混合和遠程工作環境中保持網絡安全，在數字時代保護企業是一項重大挑戰。而將其擴展到供應商，只會增加另一層復雜性。

企業必須能夠相信其供應商擁有相同的企業安全協議和標準。在網絡安全方面，人們希望科技企業能成為領導者之一，但對任何企業來說，自以為是并認為是安全的都是危險的。

那些希望保護自己不受其軟件供應鏈日益增加的風險影響的企業會因此受到什么影響？如今，這意味著他們必須通過主動、持續的監控和快速響應，大幅加強第三方、供應商和供應鏈風險。

防范軟件供應鏈安全漏洞的三個步驟

第一步是，企業需要知道面臨的問題。這意味著了解信息如何在他們的企業和供應商之間流動。了解這些可以做兩件事：它可以繪制防御圖部署資源以減輕潛在的薄弱區域；它允許企業了解什么是合法數據，并識別潛在威脅。

這一點至關重要，因為快速共享信息是數字企業的核心。如果信息通過繁重的安全檢查被攔截，企業可能會保持安全，但也可能失去機會。了解應該輸入哪些數據，以及數據可能被劫持或被引導到何處，可以提高運營績效，同時提供更多的保護。

這種防御通過第二步得到改進：持續監控。這意味著永遠不要假設某件事是合法的，直到它證明它是合法的。換句話說，采取零信任的方法并不斷檢查每一次互動和參與。人們可能了解一些購房者收到律師要求將資金存入不同賬戶的電子郵件時卻被黑客劫持的故事。通常，這些電子郵件是合法的，只是因為律師的賬戶可能被泄露。因此，毫無戒心的購房者會按照指示行事，只有當律師打電話詢問資金在哪里時，他們才意識到自己所犯的錯誤。

同樣的事情也可能發生在業務關系中，除了資金被轉移之外，它可能是被下載的受感染應用程序，或者是受感染的電子郵件附件，允許不良行為者訪問企業網絡和數據。通過持續監控，反復檢查系統和漏洞，并立即識別任何違規行為。

這就引出了第三步：快速反應。一旦發生違規行為，無論是在企業內部還是作為第三方的一部分，事件響應計劃都必須啟動。在這樣的事件中，任何人能做的最糟糕的事情就是什么也不做；甚至關閉一切設備并通知客戶，這總比不做出反應要好。

但這確實需要一個計劃。因為擁有較大的攻擊面確實意味著更多種類的潛在違規行為。當這些事件涉及第三方妥協時，應該根據供應商的意見制定響應計劃：他們將如何反應；溝通會是什么樣子；作為企業，將如何應對？每個企業都有不同的利益相關者和流程需要適應，但在制定減輕網絡攻擊影響的計劃時，不應假設任何事情。

總結

歸根結底，這是一個何時而不是是否會發生違規行為的情況，這對于供應鏈上下游的每個企業來說都是一樣的，這要歸功于相互關聯的世界。但企業不應該害怕。如果可以實施明確的主動響應計劃，持續監控與企業交互的每家供應商，清楚地了解薄弱點所在的位置，并了解最糟糕的情況是什么。這將使任何企業和第三方能夠更好地快速做出反應，并減輕未來網絡威脅的影響。?