如何應對供應鏈中第三方的安全風險

作者：Harris編譯 2022-07-15 14:54:43

雖然大多數(shù)企業(yè)需要第三方的幫助和參與，但需要制定強有力的安全策略來降低風險。那么企業(yè)如何減輕供應鏈中第三方帶來的安全風險？

?“沒有人是一座孤島”這一名句既適用于個人，也適用于企業(yè)。企業(yè)既是其供應鏈及其所屬生態(tài)系統(tǒng)的產物，也是其自身運營的產物——即使是規(guī)模最大的企業(yè)也需要第三方的支持。

在企業(yè)部署的技術堆棧方面，沒有比這更真實的了。雖然基于服務的企業(yè)不需要實體供應鏈，因為它不銷售制成品，但它需要一個密集的第三方網絡來為其提供軟件和服務。

隱藏但不斷增長的攻擊面

在安全方面，人們經常談論攻擊面，這也是企業(yè)暴露于網絡威脅的那些部分。人們經常會在有關數(shù)字化轉型的一些文章中了解這些，而數(shù)字化雖然對運營效率和商業(yè)增長必不可少，但也會增加風險。

隨著企業(yè)將其流程實現(xiàn)數(shù)字化，其攻擊面不僅是其現(xiàn)在在線的所有運營部分；它發(fā)展到涵蓋其更廣泛的供應商和供應商網絡。

這代表著巨大的風險，根據(jù)調查，許多人都沒有考慮到這一風險。雖然56%的企業(yè)預計2022年軟件供應鏈受到攻擊的報告事件會增加，但只有34%的企業(yè)已正式評估其面臨的這種風險。另一項調查發(fā)現(xiàn)，58%的企業(yè)無法確定供應商的保障措施和安全政策是否足以防止數(shù)據(jù)泄露。

防范軟件供應鏈安全漏洞的三個步驟

第一步是，企業(yè)需要知道面臨的問題。這意味著了解信息如何在他們的企業(yè)和供應商之間流動。了解這些可以做兩件事：它可以繪制防御圖部署資源以減輕潛在的薄弱區(qū)域；它允許企業(yè)了解什么是合法數(shù)據(jù)，并識別潛在威脅。

這一點至關重要，因為快速共享信息是數(shù)字企業(yè)的核心。如果信息通過繁重的安全檢查被攔截，企業(yè)可能會保持安全，但也可能失去機會。了解應該輸入哪些數(shù)據(jù)，以及數(shù)據(jù)可能被劫持或被引導到何處，可以提高運營績效，同時提供更多的保護。

這種防御通過第二步得到改進：持續(xù)監(jiān)控。這意味著永遠不要假設某件事是合法的，直到它證明它是合法的。換句話說，采取零信任的方法并不斷檢查每一次互動和參與。人們可能了解一些購房者收到律師要求將資金存入不同賬戶的電子郵件時卻被黑客劫持的故事。通常，這些電子郵件是合法的，只是因為律師的賬戶可能被泄露。因此，毫無戒心的購房者會按照指示行事，只有當律師打電話詢問資金在哪里時，他們才意識到自己所犯的錯誤。

同樣的事情也可能發(fā)生在業(yè)務關系中，除了資金被轉移之外，它可能是被下載的受感染應用程序，或者是受感染的電子郵件附件，允許不良行為者訪問企業(yè)網絡和數(shù)據(jù)。通過持續(xù)監(jiān)控，反復檢查系統(tǒng)和漏洞，并立即識別任何違規(guī)行為。

這就引出了第三步：快速反應。一旦發(fā)生違規(guī)行為，無論是在企業(yè)內部還是作為第三方的一部分，事件響應計劃都必須啟動。在這樣的事件中，任何人能做的最糟糕的事情就是什么也不做；甚至關閉一切設備并通知客戶，這總比不做出反應要好。

但這確實需要一個計劃。因為擁有較大的攻擊面確實意味著更多種類的潛在違規(guī)行為。當這些事件涉及第三方妥協(xié)時，應該根據(jù)供應商的意見制定響應計劃：他們將如何反應；溝通會是什么樣子；作為企業(yè)，將如何應對？每個企業(yè)都有不同的利益相關者和流程需要適應，但在制定減輕網絡攻擊影響的計劃時，不應假設任何事情。

總結

歸根結底，這是一個何時而不是是否會發(fā)生違規(guī)行為的情況，這對于供應鏈上下游的每個企業(yè)來說都是一樣的，這要歸功于相互關聯(lián)的世界。但企業(yè)不應該害怕。如果可以實施明確的主動響應計劃，持續(xù)監(jiān)控與企業(yè)交互的每家供應商，清楚地了解薄弱點所在的位置，并了解最糟糕的情況是什么。這將使任何企業(yè)和第三方能夠更好地快速做出反應，并減輕未來網絡威脅的影響。?

責任編輯：華軒來源：機房360

安全供應鏈數(shù)字化

成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

如何應對供應鏈中第三方的安全風險

隱藏但不斷增長的攻擊面

更多的軟件意味著更多的風險

防范軟件供應鏈安全漏洞的三個步驟

總結