电脑疯子技术论坛|电脑极客社区

微信扫一扫 分享朋友圈

已有 2587 人浏览分享

保护供应链免受网络攻击的5个关键措施

[复制链接]
2587 0
美国安全培训与研究机构SANS研究所最近确定了确保企业供应链安全的关键组件而这是行业专家认为它们很重要的原因。

7406bcd777a4dcd1123fda3b76d246fa.jpg-wh_651x-s_4166636448.jpg

随着网络犯罪分子和黑客不断攻击安全性脆弱的企业或个人用户供应链上的网络攻击不断增加正如
SANS研究所在最近关于供应链安全成功模式的报告中指出的那样许多备受瞩目的安全事件表明了
创建或升级供应链安全的重要性。

今年4月,许多美国公司的外包商Wipro公司的可信网络遭到破坏并被威胁参与者用来对这家印度公司的客户发起网络攻击。
今年5月,Adobe公司的Magento电子商务平台和7,000多个业务应用程序中的其他第三方服务遭到破坏
导致包括Ticketmaster公司在内的许多公司的密码和其他敏感信息被盗。
今年5月,第三方承包商将敏感凭证暴露给Universal Music Group的内部服务器使存储在这些服务器上的敏感信息面临风险。
今年7月,英国信息专员对英国航空公司处以2.3亿美元罚款占其2017年净销售额的1.5%原因是该公司网站及其应用程序
中的恶意软件感染,泄露了约50万名客户的敏感信息。

SANS研究所新兴趋势总监John Pescatore解释说:大约在四年前当网络犯罪分子开始攻击供应链以达到主要目标时供应链安全对于首席信
息安全官变得更加重要”他表示最近由于一些国家对供应链的网络攻击引起了媒体对该主题的兴趣供应链安全问题变得更加令人关注。
总部位于芝加哥的咨询机构Liberty Advisory Group公司的负责人ArmondÇaglar补充说:威胁行为者越来越喜
欢利用第三方供应商和分包商的防御手段因为这些实体经常向黑客开放。
SANS研究所发布的报告确定了有效的供应链安全计划的五个关键措施:

1.确定供应链负责人

SANS报告指出安全性必须在管理链中确定供应链决策的负责人以确保安全性涉及未开发地区的某个级别 这名负责人可能是企业董事会成员 首席执行官
首席运营官 首席信息官或采购主管 负责人需要获得首席信息安全官或安全经理与企业管理人员的信任 然后与他们合作 而不是试图发布安全指令。
Çaglar指出 负责人必须被企业领导者认为是可靠的 并应与其他执行利益相关者一起协商他说:没有这样的内部政治力量 当面对困扰大多数业务部
门的传统资源和预算限制时 适当的供应链计划就可能被降级为另一个成本中心 而其风险缓解工作将被边缘化。

Webroot公司是一家保护计算机免受病毒 恶意软件和网络钓鱼攻击的软件制造商 该公司工程部副总裁David Dufour补充说不仅要有负责人而且必须是合
适的负责人 他解释说:供应链安全的负责人应该对安全有深入的了解 但他们的重点不是以安全为中心 他们还必须考虑到商业因素 并制定一个整体流程
SANS研究所的Pescatore承认 对于具有成熟安全状况的大型公司来说可能不需要这样的负责人 他说  大型公司并不需要IT部门和IT安全部门来证明他们
能够以业务发展的速度来实现供应链安全 否则 业务人员会说 我们要承担风险而不是失去市场份额。

2. 了解所有的供应商

该报告解释说任何成功的安全计划的基础都始于资产管理漏洞评估和配置控制 报告中指出企业无法
确保不知道的东西在那里如果知道它在那里则必须能够检测到风险状态何时发生变化。
报告指出在供应链安全方面相当于投资组合管理 这意味着要发现和了解供应链所有合作伙伴
(从第1层合作伙伴到扩展的供应商网络)并定期评估漏洞并检测暴露风险的变化  但是 这可能是一项艰巨的任务。

自动威胁管理解决方案提供商Vectra Networks公司安全分析负责人Chris Morales说“在某些组织中收购新供应商可能就像人们
使用信用卡并签署为其提供特定利益的服务一样简单 这些都是每天做出的决定 其中不包括安全审核或来自安全团队的建议。
数字风险保护解决方案提供商Digital Shadows公司战略副总裁Rick Holland补充说评估供应链是组织可以承担的更具挑战性的风险管理工作之一 他解释说
一家跨国公司很容易在其供应链中拥有上千家公司 在数字化转型时代 许多供应链都由SaaS供应商组成 这些供应商比传统的本地供应商更容易替换其结
果是瞬态供应链不断发展 这进一步增加复杂性 企业进行的并购活动越多其供应链就越复杂 所有这些因素使供应链风险管理成为一项艰巨的任务。

3.扩展多种供应链风险评估方法

该报告警告说一般的风险评估方法不适用于大多数企业为了支持业务响应性需求并能够更持
续地监控风险水平可能需要混合使用各种技术从快速的浏览到详细深入的评估。
报告指出 在总体和供应链管理中都绕开了安全小组的一个原因是安全行动太慢 它解释说企业经常要求业务
经理承担一定程度的风险因为报告指出 供应链安全计划需要提供分级评估以支持业务需求。

网络安全服务提供商PerimeterX公司安全宣传员Deepak Patel说:安全团队需要了解业务
及其发展业务的要素他们需要根据业务投入确定威胁的优先级。
Webroot的Dufour补充说:“许多安全团队的行动确实太慢了。

跨国网络安全厂商Palo Alto Networks公司安全运营副总裁Eric Haller认为“行动太慢”可能是糟糕计划的明显标志
他说“这是安全团队参与流程太晚并且没有整合他们要求的征兆与企业建立伙伴关系及早参与并根据成果进行
调整是避免业务放缓的好方法。

自动化可以是避免速度下降的另一种方法总部位于英国的全球乘车服务商Gett公司其供应商安全通过Panorays部署自动化解决方案来解决。
Gett公司首席信息安全官Eyal Sasson解释说:“该公司需要认识到新系统已经到位必须经过安全审查流程才能与供应商合作 但是
在使用我们提供的解决方案一个月之后  考虑到自动化解决方案提供的速度 该公司员工并没有感觉他们在此过程出现麻烦 该平
台已成为整个供应商的入职流程中不可或缺的一步。

4.将仪表板和报表扩展到业务部门和IT经理

该报告建议使用供应链安全流程和工具向非安全人员提供当前风险视图的可见性并使他们能够将风险信息纳入他们的决策中 报告指出 应将安全系
统集成到任何现有流程中 以对供应商和合作伙伴的财务或生存风险进行评估 如果不存在任何系统 这将持续进行 那么报告视觉样式或数据的供应
链安全性应与采购 物流和业务运营经理所熟悉的形式尽可能相似。

LAG公司Çaglar说:我们经常听到这种说法:安全性不是IT问题 这是一个普遍的业务挑战 需要整个企业的利益相关者的接受
和参与业务部门往往负责为他们提供外包服务的供应商的管理 各个业务部门的仪表板可访问性可以为风险较高的供应商提供
有价值的数据这些风险较高的供应商会提出最高继承风险的潜在区域以采取行动。
Caglar补充说:这可以使业务部门坚持采用某些技术或管理控制措施以作为与供应商
持续开展业务的条件甚至可以作为潜在地重新协商服务水平协议条款的手段。

5. 与供应商达成一致

报告解释说很多制造商知道淘汰劣质供应商并不是成功实施质量控制计划的前提 他们意识到自己必须需要获
得反馈意见 以鼓励所有供应商采用更高质量的流程 对于供应链安全计划也是如此 有效的供应链安全计划必须包括对供应商的
反馈以及对评估和评级结果的可见性 以纠正未解决的问题并推动整体改进。

该报告提醒商业领袖 当针对供应链合作伙伴的攻击成功时 客户将责任归咎于企业 而不是供应链 对供应链的大多数直接攻击可以通过基本的
安全措施加以阻止 还有一个关键的附加因素是 供应链安全计划需要纳入灵活性 以便它们能够以采购决策的规模和速度进行操作。
对于许多董事会和许多客户来说的一个好消息是 供应链安全性是其首要任务 通过展示一种改进或创建企业的供应链安全计划的战略方法
全管理人员可以获得必要的变革支持 从而有意义 有效率地保证供应链安全。

您需要登录后才可以回帖 登录 | 注册

本版积分规则

1

关注

0

粉丝

9021

主题
精彩推荐
热门资讯
网友晒图
图文推荐

Powered by Pcgho! X3.4

© 2008-2022 Pcgho Inc.