?供應(yīng)鏈攻擊呈上升趨勢，許多組織似乎不確定如何應(yīng)對威脅，但可以采取幾個(gè)步驟來最大程度地降低參與供應(yīng)鏈違規(guī)的風(fēng)險(xiǎn)。

以下是需要考慮的前五個(gè)領(lǐng)域：

對您的技術(shù)堆棧進(jìn)行全面的IT審查

人們無法保護(hù)看不到的東西。為了最大限度地減少任何未知因素，需要從全面審核IT環(huán)境開始，包括任何未經(jīng)批準(zhǔn)的影子IT。需要準(zhǔn)確了解正在使用哪些硬件、軟件和SaaS產(chǎn)品、安全漏洞在哪里以及企業(yè)的業(yè)務(wù)依賴哪些供應(yīng)商和合作伙伴——包括這些交互的性質(zhì)，從它們處理的數(shù)據(jù)類型到系統(tǒng)接口和不同層次的整合。

接下來，評估每個(gè)供應(yīng)商對業(yè)務(wù)的重要性。如果存在冗余或不必要的關(guān)系，需要解決它們。每個(gè)進(jìn)出的供應(yīng)商都應(yīng)根據(jù)他們提供的服務(wù)類型在記錄系統(tǒng)中進(jìn)行說明。保持供應(yīng)商的最新庫存并集中管理這些關(guān)系是識(shí)別和最小化任何固有風(fēng)險(xiǎn)的起點(diǎn)。分層合作伙伴關(guān)系還允許您快速跟蹤低風(fēng)險(xiǎn)供應(yīng)商的采購。

提出正確的問題

在進(jìn)行安全對話時(shí)，優(yōu)先考慮那些最重要的供應(yīng)商。關(guān)注那些妥協(xié)可能對您的業(yè)務(wù)運(yùn)營造成最大損害和干擾的合作伙伴。

您的供應(yīng)商的安全態(tài)勢有多強(qiáng)，他們對易受攻擊區(qū)域的理解如何，以及他們?nèi)绾渭訌?qiáng)防御？具體的定制問題將產(chǎn)生更好的結(jié)果。無論企業(yè)的規(guī)模有多小，都應(yīng)準(zhǔn)備好一系列明確定義的要求，并準(zhǔn)備好提出一些令人不安的問題。

評估合作伙伴可能會(huì)給您帶來哪些風(fēng)險(xiǎn)，以及他們正在采取哪些措施來縮小這些差距。您投資組合中的每個(gè)供應(yīng)商都應(yīng)該能夠解釋他們?nèi)绾伪Ｗo(hù)自己和客戶免受攻擊，包括他們?nèi)绾蜗拗茖ο到y(tǒng)的訪問以及他們?nèi)绾渭用軘?shù)據(jù)。他們是否遵循行業(yè)標(biāo)準(zhǔn)？他們能否證明他們正在以與相同的方式保護(hù)客戶數(shù)據(jù)的機(jī)密性、完整性和可用性？供應(yīng)商還應(yīng)該能夠在被要求時(shí)展示對其安全性能的獨(dú)立審計(jì)。

設(shè)定對業(yè)務(wù)連續(xù)性的期望

在業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)(BCDR)方面，設(shè)定明確的期望非常重要。如果可用性是一個(gè)問題，則必須將堅(jiān)定的SLA寫入合同，并且您的合作伙伴應(yīng)該有一個(gè)充分且記錄良好的事件響應(yīng)計(jì)劃。如果他們沒有正式的、經(jīng)過測試的BCDR策略可供審查，請準(zhǔn)備好共同努力實(shí)施。提交答案以準(zhǔn)備下一次安全審查也是一個(gè)好主意。

建立網(wǎng)絡(luò)安全文化

已經(jīng)說過很多次了，但用戶仍然是最薄弱的環(huán)節(jié)。為了減輕這種風(fēng)險(xiǎn)，組織需要建立一種強(qiáng)大的安全文化，該文化建立在廣泛的員工培訓(xùn)基礎(chǔ)上，并輔以適當(dāng)?shù)耐{預(yù)防和監(jiān)控工具。用戶必須知道如何發(fā)現(xiàn)可疑活動(dòng)-例如網(wǎng)絡(luò)釣魚電子郵件-并且應(yīng)始終強(qiáng)烈鼓勵(lì)他們報(bào)告任何不尋常的事情，無論它看起來多么微不足道。

繼續(xù)追究供應(yīng)商的責(zé)任

完成初始風(fēng)險(xiǎn)評估后，不要忘記跟進(jìn)調(diào)查結(jié)果。既然已經(jīng)建立了識(shí)別最關(guān)鍵供應(yīng)商的標(biāo)準(zhǔn)，請開發(fā)一種適當(dāng)?shù)姆椒▉沓掷m(xù)評估它們。以反映組織內(nèi)部要求的方式衡量供應(yīng)商。在大多數(shù)情況下，第1層供應(yīng)商應(yīng)被視為業(yè)務(wù)的延伸，因此應(yīng)具有與您為自己的組織設(shè)置的政策、程序、流程和能力相似或更好的政策、程序、流程和能力。

管理供應(yīng)商是一個(gè)持續(xù)的過程，而不是一次性的勾選框練習(xí)，所以要堅(jiān)持并保持關(guān)系透明。您的合作伙伴的安全計(jì)劃應(yīng)該朝著正確的方向發(fā)展，他們應(yīng)該能夠證明他們能夠適應(yīng)不斷變化的威脅。

此外，隨著供應(yīng)商關(guān)系的增長，盡職調(diào)查和安全期望的水平也必須提高。每個(gè)合同關(guān)系都帶有一定程度的責(zé)任感。合同安全語言不僅可以通過讓供應(yīng)商遵守最佳實(shí)踐來保護(hù)您的組織——它還將為整個(gè)關(guān)系設(shè)定節(jié)奏。它將使雙方遵守在發(fā)生事故時(shí)應(yīng)滿足的標(biāo)準(zhǔn)。事件響應(yīng)、數(shù)據(jù)檢索、數(shù)據(jù)所有權(quán)和評估權(quán)都應(yīng)事先達(dá)成一致。

結(jié)論

企業(yè)可以而且必須要求其供應(yīng)商提供高質(zhì)量的安全成果。畢竟，值得信賴的供應(yīng)商的地位不是通過關(guān)系的長短來獲得的，而是來自于安全方面的更大透明度。與您的供應(yīng)商合作，找出可能的弱點(diǎn)，并繼續(xù)定期審查您和他們的防御措施。建立這種信任最終將幫助您應(yīng)對來自供應(yīng)鏈攻擊的風(fēng)險(xiǎn)。?