?供應鏈攻擊呈上升趨勢，許多組織似乎不確定如何應對威脅，但可以采取幾個步驟來最大程度地降低參與供應鏈違規的風險。

以下是需要考慮的前五個領域：

對您的技術堆棧進行全面的IT審查

人們無法保護看不到的東西。為了最大限度地減少任何未知因素，需要從全面審核IT環境開始，包括任何未經批準的影子IT。需要準確了解正在使用哪些硬件、軟件和SaaS產品、安全漏洞在哪里以及企業的業務依賴哪些供應商和合作伙伴——包括這些交互的性質，從它們處理的數據類型到系統接口和不同層次的整合。

接下來，評估每個供應商對業務的重要性。如果存在冗余或不必要的關系，需要解決它們。每個進出的供應商都應根據他們提供的服務類型在記錄系統中進行說明。保持供應商的最新庫存并集中管理這些關系是識別和最小化任何固有風險的起點。分層合作伙伴關系還允許您快速跟蹤低風險供應商的采購。

提出正確的問題

在進行安全對話時，優先考慮那些最重要的供應商。關注那些妥協可能對您的業務運營造成最大損害和干擾的合作伙伴。

您的供應商的安全態勢有多強，他們對易受攻擊區域的理解如何，以及他們如何加強防御？具體的定制問題將產生更好的結果。無論企業的規模有多小，都應準備好一系列明確定義的要求，并準備好提出一些令人不安的問題。

評估合作伙伴可能會給您帶來哪些風險，以及他們正在采取哪些措施來縮小這些差距。您投資組合中的每個供應商都應該能夠解釋他們如何保護自己和客戶免受攻擊，包括他們如何限制對系統的訪問以及他們如何加密數據。他們是否遵循行業標準？他們能否證明他們正在以與相同的方式保護客戶數據的機密性、完整性和可用性？供應商還應該能夠在被要求時展示對其安全性能的獨立審計。

設定對業務連續性的期望

在業務連續性和災難恢復(BCDR)方面，設定明確的期望非常重要。如果可用性是一個問題，則必須將堅定的SLA寫入合同，并且您的合作伙伴應該有一個充分且記錄良好的事件響應計劃。如果他們沒有正式的、經過測試的BCDR策略可供審查，請準備好共同努力實施。提交答案以準備下一次安全審查也是一個好主意。

建立網絡安全文化

已經說過很多次了，但用戶仍然是最薄弱的環節。為了減輕這種風險，組織需要建立一種強大的安全文化，該文化建立在廣泛的員工培訓基礎上，并輔以適當的威脅預防和監控工具。用戶必須知道如何發現可疑活動-例如網絡釣魚電子郵件-并且應始終強烈鼓勵他們報告任何不尋常的事情，無論它看起來多么微不足道。

繼續追究供應商的責任

完成初始風險評估后，不要忘記跟進調查結果。既然已經建立了識別最關鍵供應商的標準，請開發一種適當的方法來持續評估它們。以反映組織內部要求的方式衡量供應商。在大多數情況下，第1層供應商應被視為業務的延伸，因此應具有與您為自己的組織設置的政策、程序、流程和能力相似或更好的政策、程序、流程和能力。

管理供應商是一個持續的過程，而不是一次性的勾選框練習，所以要堅持并保持關系透明。您的合作伙伴的安全計劃應該朝著正確的方向發展，他們應該能夠證明他們能夠適應不斷變化的威脅。

此外，隨著供應商關系的增長，盡職調查和安全期望的水平也必須提高。每個合同關系都帶有一定程度的責任感。合同安全語言不僅可以通過讓供應商遵守最佳實踐來保護您的組織——它還將為整個關系設定節奏。它將使雙方遵守在發生事故時應滿足的標準。事件響應、數據檢索、數據所有權和評估權都應事先達成一致。

結論

企業可以而且必須要求其供應商提供高質量的安全成果。畢竟，值得信賴的供應商的地位不是通過關系的長短來獲得的，而是來自于安全方面的更大透明度。與您的供應商合作，找出可能的弱點，并繼續定期審查您和他們的防御措施。建立這種信任最終將幫助您應對來自供應鏈攻擊的風險。?