为什么供应链安全很重要？

SolarWinds 读起来就像一个黑客的幻想：入侵一家默默无闻的公司，并以此秘密访问其全球数千名重要客户。更好的是，没有受害者会怀疑任何事情，因为毕竟 SolarWinds 是值得信赖的供应商，没人担心。如果安全公司 FireEye 没有在 12 月加入网络，这一非同寻常的事件可能会被忽视数年而不是数月。

SolarWinds 并不是最近出现这种现象的唯一例子。今年 4 月，一家名为 Codecov 的公司生产的开??发人员审计工具中存在一个漏洞，攻击者可以将其瞄准数百名客户。同样，Accellion 的文件传输设备 (FTA) 产品使用多个零日漏洞作为目标，这让数百名仍在使用它的客户严重暴露。让后者特别有说服力的是，FTA 是一个已有 20 年历史的产品，这是一个很好的例子，说明即使是传统的供应链组织认为他们已经离开了，多年后也会回来咬他们。

这些都不是全新的。 2011 年，RSA 备受推崇的 SecureID 硬件身份验证令牌背后的加密 IP 遭到黑客入侵，导致该公司在检测到针对客户的攻击后，不得不以巨额费用更换 4000 万个昂贵的令牌。每个人都认为 RSA 是一次不幸的尝试，而我们现在知道，每个人都错了。

什么是供应链？

供应链因行业而异，但不仅可以包括技术提供商，还可能包括与组织有信任关系的任何第三方。每个组织，包括中小企业，都会有一份清单，通常是外包或某种形式的商业合作伙伴。他们造成的危险与他们对公司系统、数据以及在某些情况下对公司场所的访问量成正比。

从网络安全的角度来看，问题在于，无论一个组织如何保护自己的基础设施，它都不能确保其合作伙伴的工作做得很好。该合作伙伴的安全状态通常基于信任。在技??术、数据共享和外包已成为开展业务的基础的时代，组织不能与外界隔绝。

零信任

供应链的这种问题能得到解决吗？大约 15 年前，一群来自杰里科论坛的受启发的英国 CISO 提出了一个想法，最终形成了现在所谓的“零信任安全”。你会发现这意味着什么的各种重叠定义，但它可以简化为一个简单的原则：假设最坏的情况，不相信任何人。在过去十年中，网络犯罪的快速增长已将其从一小群思想家阅读的讨论文件集合转变为相当于十诫的网络安全。

供应链安全最佳实践

零信任原则和最佳实践可以以不同方式应用于中小企业供应链安全。

• 审核您的供应链，根据供应商构成的级别或风险以及他们对贵公司网络和数据的访问将供应商列表分解为多个类别。这将包括技术组织（软件、云、托管服务提供商、支付处理器）、专业服务（法律、建筑安全等）和合作伙伴（组件制造商、数据合作伙伴）。

• 扩大对每个合作伙伴的合规性要求，例如通过要求渗透测试报告、数据泄露通知、GDPR 违规。云提供商应该能够提供系统和组织控制 (SOC) 报告以满足 SOC 1、2 或 3。您有补丁制度，但您信任的供应商有吗？如果他们不这样做并且您的数据掌握在他们手中，就好像您的公司和他们一样脆弱。

• 锁定提供给供应商的供应商特权，并对他们获得的任何访问权限应用多因素身份验证。请记住，凭据被盗是一个主要的风险因素，包括从第三方窃取凭据。对 VPN（顺便说一下，并非绝对可靠）和远程桌面协议 (RDP) 等接口执行相同操作，这两者都是勒索软件攻击者的热门目标。

• 当心过度信任软件信任链的后门。正如美国网络安全和基础设施与安全机构 (CISA) 最近发布的一份关于软件供应链安全的报告所指出的那样，这涵盖了劫持更新、破坏代码签名和破坏开源库。中小企业可能没有意识到这些依赖关系的存在或它们是供应链的一部分，但现在每个人都在某种程度上暴露了这一点。

• 认真对待定期渗透测试的需要。这些是深入了解可能潜伏在隐藏的供应链或供应商中的漏洞的绝佳方式，这些漏洞没人想过评估其安全性。

• 假设攻击者在您的网络中并去寻找他们。请记住，勒索软件恶意软件执行前的停留时间为一周或更长时间，这意味着当勒索信息出现在 PC 上时，可能为时已晚。您结合使用的端点和其他安全产品应在此基础上进行配置。如果使用托管安全服务提供商 (MSSP)，他们不仅需要获得检测攻击的许可，而且还需要在发生某些事情时进行干预。

结论

网络安全风险正成为当今企业最重要的风险之一，很明显，大多数（如果不是全部）组织都需要稳健的安全方法。 然而，并非所有业务风险都是内部风险，正如本文所示，许多风险源自供应商关系。

与您的供应商达成协议以解决这些安全风险至关重要，确保他们遵守任何协议的条款也很重要。

如果您想探索提高业务安全性的选项，请联系我们与我们的一位顾问交谈。 我们提供一系列服务，从为您的员工提供的电子学习到网络基础知识和 ISO 27001 认证。 填写此表格或致电 0800 404 7007 联系我们 - 我们随时为您提供帮助！

返回所有文章