企业投入巨资保护自己免受网络风险和威胁,这是他们未来的生存和声誉所依赖的。然而,他们的实力取决于他们最薄弱的环节,通常是供应链,这是他们的对手再清楚不过的事实。正如英国政府《2021 年网络安全漏洞调查》所强调的那样,“大多数各种规模的组织都没有正式审查其直接供应商和更广泛的供应链所带来的风险。”延伸阅读调查发现,缺乏时间、信息和知识是未检查供应链安全风险的主要原因。在网络安全方面,许多组织面临的问题都是相同的。供应链允许不良行为者从一个点发起广泛的攻击,SolarWinds和Kaseya攻击是最近两个众所周知的例子。据总部位于伦敦的屡获殊荣的研究机构OpinionMatters称,供应链互连性非常敏感,97%的组织都受到其供应链中网络安全事件的负面影响。随着公司的发展,其第三方生态系统也在发展,管理和降低网络风险以满足安全标准变得越来越困难。招募新供应商、评估当前的第三方风险以及尝试在整个组织内清晰地传达安全性能是一项艰巨但必要的任务。作为基础,值得考虑使用第三方风险管理(TPRM)工具,该工具可以在面临供应链风险挑战时执行三项关键任务。1)供应商验证无论是评估新供应商还是现有供应商,拥有能够自信地保持大规模风险承受能力的工具都有助于更快、更有效地做出决策。TPRM工具能够更好地管理风险标准和/或企业目标,并通过固有的基于风险的供应商分级来评估供应商的安全状况,从而允许更高优先级的补救决策以进行补充或验证。通过单一参考点大规模评估供应商,允许行业基准将供应商与其竞争对手进行比较,以评估安全状况。2)持续监控和管理有效的第三方风险计划需要在整个供应商生命周期中进行持续评估。风险在不断演变,由于执行评估的高成本和管理与供应商关系的困难,很难识别每一个潜在风险。TPRM通过以下方式简化并提供对第三方的持续可见性、简化重新评估流程并简化与供应商的协作:实时分析以在风险发生时识别和补救风险与供应链合作伙伴更好地协作以进行有效补救-方(供应商-供应商)生态系统以获得更大的保护。3)有效保证衡量整个供应商组合的网络控制性能可能既麻烦又耗时,尤其是在您的计划发生变化时。将您的第三方风险计划绩效传达给利益相关者以确定和调整组织成功、竞争定位和资源分配也很重要。TPRM通过易于沟通和理解的综合报告减轻了这些负担对违规和勒索软件概率的有意义的洞察与公司价值和绩效直接相关的经过验证的指标。一家总部位于英国的大型技术提供商概述了其第三方参与的流程和规则。他们的出发点是合作伙伴至少持有一份正式的网络卫生证书,即Cyber??Essentials/ISO27001认证,并且合同包括审计和测试条款合规性的权利,包括网络安全态势。因此,组织开始认真对待供应链面临的威胁。如果可以证明安全立场和黑客威胁得到认真对待,这将在确保新业务时提供竞争优势。为了证明这一点,请考虑以下几点:在雇用员工时,一定要勤于进行背景调查和详细筛选。内部威胁仍然是黑客的第一乐趣。不要认为安全漏洞是不可能的。积极主动并了解地缘政治环境。攻击者可能有动机造成伤害或寻求访问您的资源。供应商和合作伙伴应该是众所周知的。采取合理步骤验证供应商的安全实践和程序。鉴于您的客户正在审查您的业务,您对他们做同样的事情是正确的;对待别人就像对待自己一样!应实施强大的集中治理流程,并让所有内部安全主管参与进来。能够通过持续审计、员工网络培训等展示内部安全态势将有助于展示“言出必行”的状态,这对确保合同有很大帮助。保护供应链是每个公司的责任。只有当所有实体都采取有效、协调的安全措施来确保供应链数据的完整性、货物安全和全球经济的安全时,供应链才能真正安全。原标题:你的供应链有薄弱环节吗?作者:ColinTankard链接:https://www.infosecurity-magazine.com/opinions/weak-link-supply-chain/
