供应链攻击呈上升趋势,许多组织似乎不确定如何应对威胁,但可以采取几个步骤来最大限度地降低参与风险供应链破坏。以下是需要考虑的前五个方面:对您的技术堆栈进行全面的IT审计人们无法保护他们看不到的东西。为尽量减少任何未知数,请从对您的IT环境进行全面审计开始,包括任何未经批准的影子IT。需要确切知道正在使用哪些硬件、软件和SaaS产品,安全漏洞在哪里,以及您的业务依赖哪些供应商和合作伙伴——包括这些交互的性质,从它们处理的数据类型到系统接口和不同的集成水平。接下来,评估每个供应商对业务的重要性。如果存在冗余或不必要的关系,则需要解决它们。每个进出供应商都应根据他们提供的服务类型在记录系统中进行说明。保持供应商的最新库存并集中管理这些关系是识别和最小化任何固有风险的起点。分层合作伙伴关系还允许您快速追踪从低风险供应商处的采购。提出正确的问题在进行安全对话时,优先考虑那些最重要的供应商。关注那些妥协可能对您的业务运营造成最大损害和中断的合作伙伴。您的供应商的安全态势有多强,他们对脆弱区域的了解如何,以及他们如何加强防御?具体的自定义问题会产生更好的结果。无论您的企业有多小,都要准备好一套明确定义的要求,并准备好提出一些不舒服的问题。评估您的伴侣可能会给您带来哪些风险,以及他们正在采取哪些措施来缩小这些差距。您投资组合中的每个供应商都应该能够解释他们如何保护自己和他们的客户免受攻击,包括他们如何限制对系统的访问以及他们如何加密数据。他们是否遵循行业标准?他们能否证明他们正在以与他们相同的方式保护客户数据的机密性、完整性和可用性?供应商还应该能够在被要求时展示对其安全性能的独立审计。为业务连续性设定期望在涉及业务连续性和灾难恢复(BCDR)时,设定明确的期望非常重要。如果可用性是一个问题,则必须将严格的SLA写入合同,并且您的合作伙伴应该有一个充分且记录完备的事件响应计划。如果他们没有正式的、经过测试的BCDR策略来审查,请准备好共同实施它。为下一次安全审查提交答案也是个好主意。建设网络安全文化已经说了很多遍,但用户仍然是最薄弱的环节。为了减轻这种风险,组织需要在广泛的员工培训的基础上发展强大的安全文化,并辅之以适当的威胁预防和监控工具。用户必须知道如何发现可疑活动-例如网络钓鱼电子邮件-并且应该始终强烈鼓励他们报告任何异常情况,无论它看起来多么微不足道。继续追究供应商的责任一旦初步风险评估完成,不要忘记跟进调查结果。既然已经确定了识别最关键供应商的标准,请开发一种方法来持续评估它们。以反映组织内部要求的方式衡量供应商。在大多数情况下,一级供应商应被视为业务的延伸,因此应具有与您为自己的组织制定的类似或更好的政策、程序、流程和能力。管理供应商是一个持续的过程,而不是一次性的勾选框练习,因此要坚持不懈并保持关系透明。您合作伙伴的安全计划应该朝着正确的方向发展,并且他们应该能够证明他们能够适应不断变化的威胁。此外,随着供应商关系的发展,尽职调查和安全期望的水平也必须提高。每个合同关系都带有一定程度的责任。合同安全语言不仅会通过让供应商遵守最佳实践来保护您的组织——它还会为整个关系设定节奏。它将使双方遵守在发生事故时应达到的标准。事件响应、数据检索、数据所有权和评估权都应事先约定。结论组织可以而且必须要求其供应商提供高质量的安全成果。毕竟,可信赖的供应商地位不是通过合作关系的长度获得的,而是通过围绕安全性的更大透明度获得的。与您的供应商合作,找出可能的弱点,并继续定期审查您和他们的防御措施。建立这种信任最终将帮助您解决来自供应链的攻击风险。
