复杂的供应链,有着复杂的安全需求。如果要保证供应链的安全,就必须尽可能做到这些。将供应链安全视为组织内部的东西是一个非常有限和危险的假设。Tripwire产品管理和战略副总裁TimErlin说:“在考虑确保供应链安全时,您必须同时考虑上游和下游。为我们提供产品的供应商和我们作为供应商供应的客户都应该是处于供应链安全的最前沿。”考虑范围内”。因为涉及到供应链的上下游,所以首先要知道供应链链接了哪些组织。Erlin说,“理想情况下,应该能够识别、处理数据任何与该组织打交道的组织都有权访问。”关于API安全的讨论很多,其中大部分都集中在组织或供应商的API上。同时,我们也应该关注API和服务客户要求使用,以保证整个供应链的安全。如果合同优先供应链中的任何一个环节出现问题,其后果和责任将对上下游造成很大的影响。“如果第三方遭受损失KnowBe4的安全意识倡导者JamesMcQuiggan说:“如果发生数据泄露或攻击,双方之间的合同应确定数据泄露以及支持此类事件的现有程序。”原因很简单,失败会给组织带来更大的风险和损失。虽然合同和协议倾向于考虑已知的威胁和事件,但也可以对新威胁的响应过程和程序做出安排。一些业务单位必须有义务在合同中承担监管或法律责任。例如,美国国防部发布的网络安全成熟度模型认证(CMMC)框架强制规定了所有未来国防部合同中的条款。DoD主承包商和分包商必须满足所有DoD合同所需的CMMC成熟度级别,否则将被取消竞争资格。在重点行业,快速反应能力尤为重要。NCC区域总监JeffRoth解释说:“从实体店到业务合作伙伴的医疗保健提供商都在走向数字化。在保持数据传输服务安全的同时快速提供患者所需的数据是一项挑战。性工作”。了解数据保护供应链上下游的数据很重要,但如果不知道共享的数据是什么,就无法保护它。尤其是当只有设备相互交换数据而将人类排除在外时。“物联网设备往往是关键,很少有设备是孤立存在的,物联网组件反映了这种依赖性,”信息安全论坛常务董事史蒂夫德宾说。“智能需要多个设备协同工作,通常需要大量设备作为输入。”今天的自动化流程可能需要IT、OT甚至消费类设备的参与,不同类型的设备有不同的安全需求。了解系统之间的数据流是实现安全的一部分。将流程牢记在心以将安全问题限制在供应链技术和基础设施方面是很自然的,但请记住,运营流程也会对安全产生影响。Vectra的莫拉莱斯表示,“风险通常也与操作流程有关,而不仅仅是代码中的缺陷或漏洞”。利用审查无论您对您的供应链有多信任,确保在处理和移动数据时采取必要的保护措施至关重要。KnowBe4的McQuiggan表示,“组织需要对所有具有远程访问或提供电子产品的供应商进行审计和年度检查”,“信任但验证的概念包括审查与产品开发生命周期相关的第三方网络安全政策,这是了解的重要部分。产品错误的良好开端”。PositiveTechnologies信息安全分析总监EvgenyGnedin表示,“供应链攻击最危险的地方在于,攻击者可能会长时间不被注意,而攻击本身很可能会成功”。与此同时,Gnedin指出了多个供应链攻击成功的例子,从针对华硕的Rowhammer到NetPetya和Magecart等。“通过转向供应链攻击,犯罪分子极大地扩大了受害范围。”小事在某些情况下,供应链中大型组织的安全,虽然处理起来相对麻烦,但往往可以提供从政策规范到具体实施的资源保障安全。小公司缺乏专业知识和资源。NCC的Roth有一些具体的建议:关注与每个特定关键供应商相关的实际风险和相应的安全控制。较小的供应商可以管理风险,而不会产生超出这些较小供应商承受能力的问题建立一个安全的基础设施,减少服务供应商的攻击面为高风险和中等风险的小型供应商进行有针对性的网络安全培训定期监控和反馈,以进一步帮助小型供应商遵守高层次的意识,首先将风险机器分类为:业务风险运营风险市场风险人员风险监管风险供应链风险组织的风险既可以是战略风险,也可以是战术风险。DigitalShadows的Guirakhoo表示:“当组织依赖大量第三方时,这会更加困难,从而大大增加了潜在的攻击面。”所带来的风险可能是战略关系和伙伴关系问题,使高级管理层意识到问题的严重性,并将其纳入决策过程以进行响应和补救。聚焦云端“现在很多重要数据都存储在云端,这为犯罪分子提供了可乘之机。攻击云端可以危及整个供应链的安全,并破坏关键的信息基础设施。”软件和服务基本上是从现有的软件、服务和模块构建的,导致越来越深的依赖和嵌套产品。Accurica联合创始人兼首席执行官SachinAggarwal表示,“许多云基础设施和SaaS应用程序由许多组件组成,通常包括开源产品”,“例如,AmazonWebServices使用Linux、Java、Kubernetes、Xen和KVM和这些组件提供了成本优势,但带来了组织需要关注和缓解的安全风险。”确定和审查软件供应链中每个组件的安全性以及云中的供应链安全性是一项艰巨的任务,但却是保护组织供应链的一个组成部分。
