偷工减料时有发生,尤其是在高风险、高速度的工作中。但是,如果员工足够诚实地承认,当他们将易受攻击的代码带到网上时,我们就可以拼凑出一堆损坏的产品。OstermanResearch的一项新研究揭示了一个令人担忧的趋势——81%的开发人员承认故意推送易受攻击的代码。这使得威胁行为者更容易发起网络攻击。但我们并没有提到这是负面的。相反,这是一个很好的提醒,提醒企业和机构要向内看。减少供应链脆弱性始于创建正确的公司文化。开发人员应该安全地标记易受攻击的代码,即使这意味着可能会错过最后期限。否则,开发人员可能保持沉默并增加代码的风险。如果不了解可能存在的漏洞的全貌以及对事件响应的影响,雇主就无法做出基于风险的决策。这始于一种将网络安全内置于结构中并且是每个人的首要任务的文化。改变企业文化如何预防网络攻击然而,一个人解决不了问题。减少供应链网络攻击需要团队合作——设置优先级的业务领导者、网络安全专家与开发人员和开发人员密切合作,将安全性构建到他们的代码中。当您已经成为供应链攻击的受害者或泄露您的数据时,为时已晚。以下是主动降低供应链攻击风险的五个关键:告知开发人员有关网络攻击的信息涉及供应链攻击时,开发人员处于前线。您可能想尝试通过年度课程或更频繁的讲座来涵盖所有基础知识。然而,真正最有效的是开发人员不断更新新的网络攻击和最佳实践的过程。通过使用微培训,例如基于文本的培训或短视频,开发人员既可以获得他们需要的课程,又可以提高他们的意识。监测开源项目《2020 年软件供应链状况报告》发现,2019年至2020年间,针对开源代码的网络攻击增加了430%。通过参与对手模拟,组织可以直接了解他们的软件在攻击期间的表现。开发人员还可以通过提高库、包和依赖项的可见性和安全性来减少依赖项混淆,从而降低开源开发的风险。零信任由于数据、产品、集成等移动部分,零信任方法对于降低供应链网络攻击风险至关重要。假设没有任何设备、用户或数据是安全的,除非另有证明。这样,您通常可以减少和消除可能损害供应链的威胁。内置数据保护供应链网络攻击的一个关键漏洞是应用程序中的敏感数据,这些数据必须双向流动。此外,请确保您遵守代码中的所有数据隐私和保护法。开发人员应该将最新的加密技术构建到他们的应用程序中。他们还应该为供应链使用数字签名、会话中断和多因素身份验证。关注第三方风险供应链的本质是组织和应用程序共同努力交付。这可以通过物理产品或软件安全来实现。但是,每个新连接都意味着更多的高风险端点。请务必仔细检查所有集成和风险。毕竟,你无法保护你不知道的东西。下一步是与供应商和合作伙伴合作,确保各方都遵循网络安全最佳实践并提前解决风险。供应链攻击不太可能在不久的将来平息。通过在您的应用程序和文化中构建对这些类型的破坏性网络攻击的弹性,您可以降低风险。
