自SolarWinds供应链攻击事件以来,人们越来越关注各种规模的组织如何确保其供应商的安全。事实证明,无论规模大小,各类组织都沦为了供应链攻击的受害者。即便是坐拥政府资源和资金的美国财政部和国土安全部同样难逃魔爪——它们也在SolarWinds攻击事件中受到了影响。
目前创新互联公司已为成百上千家的企业提供了网站建设、域名、雅安服务器托管、成都网站托管、企业网站设计、全州网站维护等服务,公司将坚持客户导向、应用为本的策略,正道将秉承"和谐、参与、激情"的文化,与客户和合作伙伴齐心协力一起成长,共同发展。
遗憾的现实是,供应链攻击并不会消失。2021年第一季度,137家组织报告称在27家不同的第三方供应商处遭受了供应链攻击,而供应链攻击的数量比上一季度增长了42%。
这就引出了一个问题:当供应链攻击的威胁越来越大时,企业应该如何降低风险?
虽然不能保证企业可以在供应链攻击发生之前检测到它,但企业可以考虑下述10项最佳实践,来帮助降低风险并验证其供应链的安全性。
(1) 评估如果供应商的IT基础设施受到损害,每个供应商可能对您的业务产生的影响。
虽然进行全面风险评估是首选,但规模较小的组织可能没有资源和能力进行评估。不过,他们至少应该分析最坏的情况并了解以下问题:
(2) 评估每个供应商的内部IT资源和能力。
他们是否有由安全经理或CISO领导的专门网络安全团队?确定供应商的安全领导很重要,因为他们可以回答您的问题。如果团队不存在此类职务或人员不足,没有真正的领导,您可能需要慎重考虑与该供应商的合作问题。
(3) 与供应商的安全经理或CISO会面,了解他们如何保护其系统和数据。
这一过程可以通过简短的会议、电话,甚至是电子邮件对话完成,具体取决于步骤1中确定的风险。
(4) 索取证据来验证供应商的主张。
渗透报告是一种有用的方法。确保测试范围是适当的,并在可能的情况下,要求提供两次连续测试的报告,以验证供应商是否根据其发现采取行动。
(5) 如果您的供应商是软件供应商,请要求进行独立的源代码审查。
在某些情况下,供应商可能会要求签订保密协议(NDA)才会共享完整报告或可能选择不共享。发生这种情况时,请索取一份执行摘要。
(6) 如果您的供应商是云供应商,可以扫描供应商的网络。
执行Shodan搜索,或要求供应商提供他们自己的扫描报告。如果您打算自己扫描,请从供应商处获得许可,并要求他们将客户地址与他们自己的地址分开,这样您就不会扫描到不相关的内容。
(7) 如果供应商是软件或云供应商,查明供应商是否正在运行漏洞赏金计划。
这些项目可以帮助组织在攻击者有机会利用漏洞之前找到并修复漏洞。
(8) 询问您的供应商他们如何确定风险的优先级。
例如,通用漏洞评分系统(CVSS)是一种免费且开放的行业标准,用于评估计算机系统安全漏洞的严重性并分配严重性评分,以便供应商可以优先考虑风险响应。
(9) 索取供应商的漏洞修复报告。
他们拥有报告这一事实表明了他们对安全和管理漏洞的承诺。如果可能,请尝试获取由独立实体生成的报告。
(10) 步骤1到9应该每年重复一次,具体取决于供应商面临的威胁及其对企业的影响。
对于影响较小的供应商,可以稍微放宽频率;对于具有高风险且风险会严重影响企业业务的供应商,企业可以制定永久性评估流程。但是,大型SaaS和IaaS提供商可能不愿意参与正在进行的评估。
通过遵循上述推荐的最佳实践,企业可以识别与特定供应商相关的风险,了解供应商如何管理这些风险,并收集有关供应商如何减轻这些风险的证据。基于此证据和风险偏好,企业可以做出是否与该供应商合作的明智决定。最后,当您执行这些评估时,请以一致性为目标并寻找随时间变化的风险。
请记住,我们无法确保可以阻止供应链攻击,但通过下一代反恶意软件防护来保护您自己的环境,与您的用户进行持续的网络安全培训,并遵循这些最佳实践,可以降低组织面临的风险。
分享题目:警惕供应链安全:判断供应商安全性的十种方法
文章起源:http://www.stwzsj.com/qtweb/news38/6238.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联