?“沒(méi)有人是一座孤島”這一名句既適用于個(gè)人，也適用于企業(yè)。企業(yè)既是其供應(yīng)鏈及其所屬生態(tài)系統(tǒng)的產(chǎn)物，也是其自身運(yùn)營(yíng)的產(chǎn)物——即使是規(guī)模最大的企業(yè)也需要第三方的支持。

在企業(yè)部署的技術(shù)堆棧方面，沒(méi)有比這更真實(shí)的了。雖然基于服務(wù)的企業(yè)不需要實(shí)體供應(yīng)鏈，因?yàn)樗讳N(xiāo)售制成品，但它需要一個(gè)密集的第三方網(wǎng)絡(luò)來(lái)為其提供軟件和服務(wù)。

隱藏但不斷增長(zhǎng)的攻擊面

在安全方面，人們經(jīng)常談?wù)摴裘妫@也是企業(yè)暴露于網(wǎng)絡(luò)威脅的那些部分。人們經(jīng)常會(huì)在有關(guān)數(shù)字化轉(zhuǎn)型的一些文章中了解這些，而數(shù)字化雖然對(duì)運(yùn)營(yíng)效率和商業(yè)增長(zhǎng)必不可少，但也會(huì)增加風(fēng)險(xiǎn)。

隨著企業(yè)將其流程實(shí)現(xiàn)數(shù)字化，其攻擊面不僅是其現(xiàn)在在線的所有運(yùn)營(yíng)部分；它發(fā)展到涵蓋其更廣泛的供應(yīng)商和供應(yīng)商網(wǎng)絡(luò)。

這代表著巨大的風(fēng)險(xiǎn)，根據(jù)調(diào)查，許多人都沒(méi)有考慮到這一風(fēng)險(xiǎn)。雖然56%的企業(yè)預(yù)計(jì)2022年軟件供應(yīng)鏈?zhǔn)艿焦舻膱?bào)告事件會(huì)增加，但只有34%的企業(yè)已正式評(píng)估其面臨的這種風(fēng)險(xiǎn)。另一項(xiàng)調(diào)查發(fā)現(xiàn)，58%的企業(yè)無(wú)法確定供應(yīng)商的保障措施和安全政策是否足以防止數(shù)據(jù)泄露。

更多的軟件意味著更多的風(fēng)險(xiǎn)

不難看出為什么會(huì)這樣，因?yàn)楣芾碜约旱木W(wǎng)絡(luò)安全比較困難。從保護(hù)新的移動(dòng)用戶（及其端點(diǎn)）到保護(hù)傳輸中和靜止的數(shù)據(jù)，以及確保員工在混合和遠(yuǎn)程工作環(huán)境中保持網(wǎng)絡(luò)安全，在數(shù)字時(shí)代保護(hù)企業(yè)是一項(xiàng)重大挑戰(zhàn)。而將其擴(kuò)展到供應(yīng)商，只會(huì)增加另一層復(fù)雜性。

企業(yè)必須能夠相信其供應(yīng)商擁有相同的企業(yè)安全協(xié)議和標(biāo)準(zhǔn)。在網(wǎng)絡(luò)安全方面，人們希望科技企業(yè)能成為領(lǐng)導(dǎo)者之一，但對(duì)任何企業(yè)來(lái)說(shuō)，自以為是并認(rèn)為是安全的都是危險(xiǎn)的。

那些希望保護(hù)自己不受其軟件供應(yīng)鏈日益增加的風(fēng)險(xiǎn)影響的企業(yè)會(huì)因此受到什么影響？如今，這意味著他們必須通過(guò)主動(dòng)、持續(xù)的監(jiān)控和快速響應(yīng)，大幅加強(qiáng)第三方、供應(yīng)商和供應(yīng)鏈風(fēng)險(xiǎn)。

防范軟件供應(yīng)鏈安全漏洞的三個(gè)步驟

第一步是，企業(yè)需要知道面臨的問(wèn)題。這意味著了解信息如何在他們的企業(yè)和供應(yīng)商之間流動(dòng)。了解這些可以做兩件事：它可以繪制防御圖部署資源以減輕潛在的薄弱區(qū)域；它允許企業(yè)了解什么是合法數(shù)據(jù)，并識(shí)別潛在威脅。

這一點(diǎn)至關(guān)重要，因?yàn)榭焖俟蚕硇畔⑹菙?shù)字企業(yè)的核心。如果信息通過(guò)繁重的安全檢查被攔截，企業(yè)可能會(huì)保持安全，但也可能失去機(jī)會(huì)。了解應(yīng)該輸入哪些數(shù)據(jù)，以及數(shù)據(jù)可能被劫持或被引導(dǎo)到何處，可以提高運(yùn)營(yíng)績(jī)效，同時(shí)提供更多的保護(hù)。

這種防御通過(guò)第二步得到改進(jìn)：持續(xù)監(jiān)控。這意味著永遠(yuǎn)不要假設(shè)某件事是合法的，直到它證明它是合法的。換句話說(shuō)，采取零信任的方法并不斷檢查每一次互動(dòng)和參與。人們可能了解一些購(gòu)房者收到律師要求將資金存入不同賬戶的電子郵件時(shí)卻被黑客劫持的故事。通常，這些電子郵件是合法的，只是因?yàn)槁蓭煹馁~戶可能被泄露。因此，毫無(wú)戒心的購(gòu)房者會(huì)按照指示行事，只有當(dāng)律師打電話詢問(wèn)資金在哪里時(shí)，他們才意識(shí)到自己所犯的錯(cuò)誤。

同樣的事情也可能發(fā)生在業(yè)務(wù)關(guān)系中，除了資金被轉(zhuǎn)移之外，它可能是被下載的受感染應(yīng)用程序，或者是受感染的電子郵件附件，允許不良行為者訪問(wèn)企業(yè)網(wǎng)絡(luò)和數(shù)據(jù)。通過(guò)持續(xù)監(jiān)控，反復(fù)檢查系統(tǒng)和漏洞，并立即識(shí)別任何違規(guī)行為。

這就引出了第三步：快速反應(yīng)。一旦發(fā)生違規(guī)行為，無(wú)論是在企業(yè)內(nèi)部還是作為第三方的一部分，事件響應(yīng)計(jì)劃都必須啟動(dòng)。在這樣的事件中，任何人能做的最糟糕的事情就是什么也不做；甚至關(guān)閉一切設(shè)備并通知客戶，這總比不做出反應(yīng)要好。

但這確實(shí)需要一個(gè)計(jì)劃。因?yàn)閾碛休^大的攻擊面確實(shí)意味著更多種類的潛在違規(guī)行為。當(dāng)這些事件涉及第三方妥協(xié)時(shí)，應(yīng)該根據(jù)供應(yīng)商的意見(jiàn)制定響應(yīng)計(jì)劃：他們將如何反應(yīng)；溝通會(huì)是什么樣子；作為企業(yè)，將如何應(yīng)對(duì)？每個(gè)企業(yè)都有不同的利益相關(guān)者和流程需要適應(yīng)，但在制定減輕網(wǎng)絡(luò)攻擊影響的計(jì)劃時(shí)，不應(yīng)假設(shè)任何事情。

總結(jié)

歸根結(jié)底，這是一個(gè)何時(shí)而不是是否會(huì)發(fā)生違規(guī)行為的情況，這對(duì)于供應(yīng)鏈上下游的每個(gè)企業(yè)來(lái)說(shuō)都是一樣的，這要?dú)w功于相互關(guān)聯(lián)的世界。但企業(yè)不應(yīng)該害怕。如果可以實(shí)施明確的主動(dòng)響應(yīng)計(jì)劃，持續(xù)監(jiān)控與企業(yè)交互的每家供應(yīng)商，清楚地了解薄弱點(diǎn)所在的位置，并了解最糟糕的情況是什么。這將使任何企業(yè)和第三方能夠更好地快速做出反應(yīng)，并減輕未來(lái)網(wǎng)絡(luò)威脅的影響。?