“没有人是一座孤岛”这句话对个人和企业都适用。企业既是其供应链和所属生态系统的产物,也是其自身运营的产物——即使是最大的企业也需要第三方支持。当涉及到企业部署的技术堆栈时,没有比这更真实的了。虽然基于服务的企业不需要实体供应链,因为它不销售制成品,但它需要密集的第三方网络为其提供软件和服务。隐藏但不断增长的攻击面谈到安全性时,人们经常谈论攻击面,即企业中暴露于网络威胁的那些部分。人们经常在有关数字化转型的文章中读到这一点,这虽然对运营效率和业务增长至关重要,但也会增加风险。随着企业对其流程进行数字化,其攻击面不仅仅是其现在在线的所有业务部分;它发展到涵盖更广泛的供应商和供应商网络。这是一个巨大的风险,根据调查,很多人都没有考虑到这一点。虽然56%的组织预计报告的软件供应链攻击事件在2022年会增加,但只有34%的组织正式评估了他们面临这种风险的程度。另一项调查发现,58%的企业不确定供应商的保障措施和安全政策是否足以防止数据泄露。更多的软件意味着更多的风险不难看出原因,因为管理自己的网络安全更难。从保护新移动用户(及其端点)到保护传输中和静态数据,以及确保员工在混合和远程工作环境中保持网络安全,保护数字时代的企业是一项重大挑战。将其扩展到供应商只会增加另一层复杂性。组织必须能够相信他们的供应商拥有相同的公司安全协议和标准。在网络安全方面,科技公司有望成为领先者,但任何企业自以为是并认为它是安全的都是危险的。这对寻求保护自己免受软件供应链日益增加的风险影响的企业有何影响?如今,这意味着他们必须通过主动、持续的监控和快速响应来显着加强第三方、供应商和供应链风险。防止软件供应链安全漏洞的三个步骤第一步是企业需要知道他们面临的是什么。这意味着了解信息如何在他们的企业和供应商之间流动。知道这一点会做两件事:绘制防御图并部署资源以减轻潜在的薄弱环节;它使企业能够了解什么是合法数据并识别潜在威胁。这一点至关重要,因为信息的快速共享是数字企业的核心。如果通过繁重的安全检查截获信息,企业可能会保持安全,但也可能会失去机会。了解应输入哪些数据,以及数据可能被劫持或定向到何处,可以提高运营绩效,同时提供更多保护。这种防御通过第二步得到改进:持续监控。这意味着在证明它是合法的之前永远不要假设某事是合法的。换句话说,采取零信任的方法并不断检查每一次互动和参与。您可能知道购房者在收到律师发来的电子邮件要求他们将资金存入其他帐户时遭到黑客攻击的故事。通常,这些电子邮件是合法的,仅仅是因为律师的帐户可能已被盗用。因此,毫无戒心的购房者照他们说的去做,只是在律师打电话询问资金在哪里时才意识到他们犯了一个错误。同样的事情也可能发生在业务关系中,不是转移资金,而是下载受感染的应用程序,或者受感染的电子邮件附件,允许不良行为者访问公司网络和数据。通过持续监控,交叉检查系统和漏洞,并立即发现任何违规行为。这就引出了第三步:快速反应。一旦发生违规,无论是在企业内部还是作为第三方的一部分,都必须启动事件响应计划。在这种情况下,任何人能做的最糟糕的事情就是什么都不做;甚至关闭一切并通知客户也比不回应要好。但这确实需要一个计划。因为拥有更大的攻击面确实意味着更多种类的潜在漏洞。当这些事件涉及第三方妥协时,应根据供应商的意见制定响应计划:他们将如何反应;沟通会是什么样子;作为一家企业,它将如何应对?每个企业都有不同的利益相关者和流程需要适应,但在制定减轻网络攻击影响的计划时,不应假设任何事情。总结归根结底,这是一个何时发生而不是是否会发生违规的问题,而且由于互联世界,供应链上下游的每个企业都一样。但企业不应该害怕。如果您可以实施明确的主动响应计划,持续监控与您的业务交互的每个供应商,以清楚地了解弱点在哪里以及最坏的情况是什么,那会怎样?这将使任何企业和第三方能够更好地快速做出反应并减轻未来网络威胁的影响。
