自SolarWinds供应链攻击以来,人们越来越关注各种规模的组织如何确保其供应商安全。事实证明,各种类型的组织,无论大小,都是供应链攻击的受害者。甚至拥有政府资源和资金的美国财政部和国土安全部也受到了SolarWinds攻击的影响。可悲的现实是,供应链攻击并没有消失。2021年第一季度,有137家组织报告了针对27家不同第三方供应商的供应链攻击,供应链攻击数量环比增长42%。这就引出了一个问题:随着供应链攻击威胁的增加,企业如何降低风险?评估供应商风险的10个最佳实践虽然不能保证企业可以在供应链攻击发生之前检测到它,但公司可以考虑以下10个最佳实践来帮助降低风险并验证其供应链的安全性。(1)评估如果供应商的IT基础设施受到损害,每个供应商可能对您的业务产生的影响。虽然首选进行全面的风险评估,但较小的组织可能没有资源和能力这样做。但是,他们至少应该分析最坏的情况并了解以下问题:对该供应商系统的勒索软件攻击将如何影响我的业务?如果供应商的源代码被特洛伊木马病毒破坏,我的业务会怎样?如果供应商的数据库遭到破坏并且数据被盗,这将如何影响我的业务?(2)评估每个供应商的内部IT资源和能力。他们是否拥有由安全经理或CISO领导的专门网络安全团队?确定供应商的安全领导地位很重要,因为他们可以回答您的问题。如果团队没有此类角色或人手不足且没有真正的领导,您可能需要认真考虑与该供应商合作。(3)与供应商的安全经理或CISO会面,了解他们如何保护他们的系统和数据。根据步骤1中确定的风险,可以通过简短的会议、电话甚至电子邮件对话来完成此过程。(4)索取证据以验证供应商的说法。渗透报告是执行此操作的有用方法。确保测试覆盖范围适当,并在可能的情况下要求提供两次连续测试的报告,以验证供应商是否已根据其发现采取行动。(5)如果您的供应商是软件供应商,请请求独立的源代码审查。在某些情况下,供应商可能需要保密协议(NDA)才能共享完整报告,也可能选择不共享。发生这种情况时,请索取执行摘要。(6)如果你的提供商是云提供商,你可以扫描提供商的网络。执行Shodan搜索,或要求供应商提供他们自己的扫描报告。如果您打算自己扫描,请获得供应商的许可,并要求他们将客户地址与自己的地址分开,这样您就不会扫描不相关的内容。(7)如果供应商是软件或云供应商,查明供应商是否在运行漏洞赏金计划。这些项目帮助组织在攻击者有机会利用它们之前发现并修复漏洞。(8)询问您的供应商他们如何确定风险的优先级。例如,通用漏洞评分系统(CVSS)是一种免费开放的行业标准,用于评估计算机系统安全漏洞的严重程度并分配严重程度分数,以便供应商可以确定风险响应的优先级。(9)请求供应商的错误修复报告。他们拥有报告的事实证明了他们对安全和管理漏洞的承诺。如果可能,请尝试获取由独立实体生成的报告。(10)步骤1到9应每年重复一次,具体取决于供应商面临的威胁及其对业务的影响。对于影响较小的供应商,频率可略微放宽;对于高风险和风险严重影响公司业务的供应商,公司可制定永久性评估流程。然而,大型SaaS和IaaS提供商可能不愿意参与正在进行的评估。总结通过遵循上述推荐的最佳实践,组织可以识别与特定供应商相关的风险,了解供应商如何管理这些风险,并收集有关供应商如何减轻这些风险的证据。基于这些证据和风险偏好,企业可以就是否与该供应商合作做出明智的决定。最后,当您执行这些评估时,目标是保持一致性并寻找随时间变化的风险。请记住,我们无法保证可以防止供应链攻击,但通过下一代反恶意软件保护保护您自己的环境,对您的用户进行持续的网络安全培训,并遵循这些最佳实践可以降低您的组织面临的风险。
