偷工減料時有發(fā)生，在高風險、高速的工作中更是如此。但是，如果員工足夠誠實地承認，當他們將易受攻擊的代碼上線時，我們可以將一系列已損壞的產(chǎn)品組合在一起。Osterman Research 的一項新研究發(fā)現(xiàn)了一個令人擔憂的趨勢——81% 的開發(fā)人員承認故意推送易受攻擊的代碼。這使得威脅行為者更容易發(fā)起網(wǎng)絡(luò)攻擊。

但我們提到這一點并不是為了消極。相反，這是企業(yè)和機構(gòu)向內(nèi)看的一個很好的提示。減少供應(yīng)鏈脆弱性始于創(chuàng)建正確的公司文化。開發(fā)人員應(yīng)該安全地舉起有關(guān)易受攻擊的代碼的標志，即使這意味著可能會錯過最后期限。否則，開發(fā)人員可能會保持沉默并增加代碼的風險。如果不了解可能存在的漏洞的全貌以及對事件響應(yīng)的影響，雇主就無法做出基于風險的決策。這始于一種將網(wǎng)絡(luò)安全內(nèi)置于結(jié)構(gòu)中并且是每個人的首要任務(wù)的文化。

改變公司文化如何防止網(wǎng)絡(luò)攻擊

然而，一個人無法解決問題。減少供應(yīng)鏈網(wǎng)絡(luò)攻擊需要團隊合作——確定優(yōu)先事項的商業(yè)領(lǐng)袖、網(wǎng)絡(luò)安全專家與開發(fā)人員和開發(fā)人員密切合作，將安全性融入到他們的代碼中。等到您已經(jīng)成為供應(yīng)鏈攻擊的受害者或漏洞暴露您的數(shù)據(jù)時為時已晚。

以下是開始主動降低供應(yīng)鏈攻擊風險的五個關(guān)鍵：

通知開發(fā)人員有關(guān)網(wǎng)絡(luò)攻擊的信息

對于供應(yīng)鏈攻擊，開發(fā)人員是第一線。您可能會想嘗試通過一年一度的課程或更頻繁的講座來涵蓋所有基礎(chǔ)知識。然而，真正最有效的是開發(fā)人員持續(xù)更新有關(guān)新網(wǎng)絡(luò)攻擊和最佳實踐的過程。通過使用微培訓，例如文本培訓或短視頻，開發(fā)人員既可以獲得他們需要的課程，也可以提高他們的意識。

監(jiān)控開源項目

《2020 年軟件供應(yīng)鏈狀況報告》發(fā)現(xiàn)，在 2019 年至 2020 年間，針對開源代碼的網(wǎng)絡(luò)攻擊增加了 430%。通過使用對手模擬參與，組織可以直接了解他們的軟件在攻擊期間的表現(xiàn)如何。開發(fā)人員還可以通過提高庫、包和依賴項的可見性和安全性來減少依賴項混淆問題，從而降低開源開發(fā)帶來的風險。

零信任

由于移動部分——數(shù)據(jù)、產(chǎn)品、集成，零信任方法對于降低供應(yīng)鏈網(wǎng)絡(luò)攻擊風險至關(guān)重要。假設(shè)任何設(shè)備、用戶或數(shù)據(jù)都不安全，除非另有證明。這樣，您通常可以減少和消除可能損害供應(yīng)鏈的威脅。

內(nèi)置數(shù)據(jù)保護

供應(yīng)鏈網(wǎng)絡(luò)攻擊的一個關(guān)鍵漏洞是應(yīng)用程序中的敏感數(shù)據(jù)，這些數(shù)據(jù)必須雙向流動。此外，請確保您遵守代碼中的所有數(shù)據(jù)隱私和保護法律。開發(fā)人員應(yīng)該在他們的應(yīng)用程序中構(gòu)建最新的加密技術(shù)。他們還應(yīng)該對供應(yīng)鏈使用數(shù)字簽名、會話中斷和多因素身份驗證。

關(guān)注第三方風險

供應(yīng)鏈的本質(zhì)是組織和應(yīng)用程序協(xié)同工作以進行交付。這可能是通過物理產(chǎn)品或軟件安全。但是，每個新連接都意味著更多的高風險端點。請務(wù)必仔細檢查所有集成和風險。畢竟，你無法保護你不知道的東西。下一步是與供應(yīng)商和合作伙伴合作，以確保所有各方都遵循網(wǎng)絡(luò)安全最佳實踐并提前應(yīng)對風險。

在不久的將來，供應(yīng)鏈攻擊不太可能消退。通過在您的應(yīng)用程序和文化中構(gòu)建對此類破壞性網(wǎng)絡(luò)攻擊的彈性，您可以降低風險。