如何最大限度地減少企業(yè)受到供應(yīng)鏈攻擊的風(fēng)險
?供應(yīng)鏈攻擊呈上升趨勢,許多組織似乎不確定如何應(yīng)對威脅,但可以采取幾個步驟來最大程度地降低參與供應(yīng)鏈違規(guī)的風(fēng)險。
以下是需要考慮的前五個領(lǐng)域:
對您的技術(shù)堆棧進行全面的IT審查
人們無法保護看不到的東西。為了最大限度地減少任何未知因素,需要從全面審核IT環(huán)境開始,包括任何未經(jīng)批準的影子IT。需要準確了解正在使用哪些硬件、軟件和SaaS產(chǎn)品、安全漏洞在哪里以及企業(yè)的業(yè)務(wù)依賴哪些供應(yīng)商和合作伙伴——包括這些交互的性質(zhì),從它們處理的數(shù)據(jù)類型到系統(tǒng)接口和不同層次的整合。
接下來,評估每個供應(yīng)商對業(yè)務(wù)的重要性。如果存在冗余或不必要的關(guān)系,需要解決它們。每個進出的供應(yīng)商都應(yīng)根據(jù)他們提供的服務(wù)類型在記錄系統(tǒng)中進行說明。保持供應(yīng)商的最新庫存并集中管理這些關(guān)系是識別和最小化任何固有風(fēng)險的起點。分層合作伙伴關(guān)系還允許您快速跟蹤低風(fēng)險供應(yīng)商的采購。
提出正確的問題
在進行安全對話時,優(yōu)先考慮那些最重要的供應(yīng)商。關(guān)注那些妥協(xié)可能對您的業(yè)務(wù)運營造成最大損害和干擾的合作伙伴。
您的供應(yīng)商的安全態(tài)勢有多強,他們對易受攻擊區(qū)域的理解如何,以及他們?nèi)绾渭訌姺烙??具體的定制問題將產(chǎn)生更好的結(jié)果。無論企業(yè)的規(guī)模有多小,都應(yīng)準備好一系列明確定義的要求,并準備好提出一些令人不安的問題。
評估合作伙伴可能會給您帶來哪些風(fēng)險,以及他們正在采取哪些措施來縮小這些差距。您投資組合中的每個供應(yīng)商都應(yīng)該能夠解釋他們?nèi)绾伪Wo自己和客戶免受攻擊,包括他們?nèi)绾蜗拗茖ο到y(tǒng)的訪問以及他們?nèi)绾渭用軘?shù)據(jù)。他們是否遵循行業(yè)標準?他們能否證明他們正在以與相同的方式保護客戶數(shù)據(jù)的機密性、完整性和可用性?供應(yīng)商還應(yīng)該能夠在被要求時展示對其安全性能的獨立審計。
設(shè)定對業(yè)務(wù)連續(xù)性的期望
在業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)(BCDR)方面,設(shè)定明確的期望非常重要。如果可用性是一個問題,則必須將堅定的SLA寫入合同,并且您的合作伙伴應(yīng)該有一個充分且記錄良好的事件響應(yīng)計劃。如果他們沒有正式的、經(jīng)過測試的BCDR策略可供審查,請準備好共同努力實施。提交答案以準備下一次安全審查也是一個好主意。
建立網(wǎng)絡(luò)安全文化
已經(jīng)說過很多次了,但用戶仍然是最薄弱的環(huán)節(jié)。為了減輕這種風(fēng)險,組織需要建立一種強大的安全文化,該文化建立在廣泛的員工培訓(xùn)基礎(chǔ)上,并輔以適當?shù)耐{預(yù)防和監(jiān)控工具。用戶必須知道如何發(fā)現(xiàn)可疑活動-例如網(wǎng)絡(luò)釣魚電子郵件-并且應(yīng)始終強烈鼓勵他們報告任何不尋常的事情,無論它看起來多么微不足道。
繼續(xù)追究供應(yīng)商的責任
完成初始風(fēng)險評估后,不要忘記跟進調(diào)查結(jié)果。既然已經(jīng)建立了識別最關(guān)鍵供應(yīng)商的標準,請開發(fā)一種適當?shù)姆椒▉沓掷m(xù)評估它們。以反映組織內(nèi)部要求的方式衡量供應(yīng)商。在大多數(shù)情況下,第1層供應(yīng)商應(yīng)被視為業(yè)務(wù)的延伸,因此應(yīng)具有與您為自己的組織設(shè)置的政策、程序、流程和能力相似或更好的政策、程序、流程和能力。
管理供應(yīng)商是一個持續(xù)的過程,而不是一次性的勾選框練習(xí),所以要堅持并保持關(guān)系透明。您的合作伙伴的安全計劃應(yīng)該朝著正確的方向發(fā)展,他們應(yīng)該能夠證明他們能夠適應(yīng)不斷變化的威脅。
此外,隨著供應(yīng)商關(guān)系的增長,盡職調(diào)查和安全期望的水平也必須提高。每個合同關(guān)系都帶有一定程度的責任感。合同安全語言不僅可以通過讓供應(yīng)商遵守最佳實踐來保護您的組織——它還將為整個關(guān)系設(shè)定節(jié)奏。它將使雙方遵守在發(fā)生事故時應(yīng)滿足的標準。事件響應(yīng)、數(shù)據(jù)檢索、數(shù)據(jù)所有權(quán)和評估權(quán)都應(yīng)事先達成一致。
結(jié)論
企業(yè)可以而且必須要求其供應(yīng)商提供高質(zhì)量的安全成果。畢竟,值得信賴的供應(yīng)商的地位不是通過關(guān)系的長短來獲得的,而是來自于安全方面的更大透明度。與您的供應(yīng)商合作,找出可能的弱點,并繼續(xù)定期審查您和他們的防御措施。建立這種信任最終將幫助您應(yīng)對來自供應(yīng)鏈攻擊的風(fēng)險。?