自SolarWinds供應(yīng)鏈攻擊事件以來(lái)，人們?cè)絹?lái)越關(guān)注各種規(guī)模的組織如何確保其供應(yīng)商的安全。事實(shí)證明，無(wú)論規(guī)模大小，各類組織都淪為了供應(yīng)鏈攻擊的受害者。即便是坐擁政府資源和資金的美國(guó)財(cái)政部和國(guó)土安全部同樣難逃魔爪——它們也在SolarWinds攻擊事件中受到了影響。

遺憾的現(xiàn)實(shí)是，供應(yīng)鏈攻擊并不會(huì)消失。2021年第一季度，137家組織報(bào)告稱在27家不同的第三方供應(yīng)商處遭受了供應(yīng)鏈攻擊，而供應(yīng)鏈攻擊的數(shù)量比上一季度增長(zhǎng)了42%。

這就引出了一個(gè)問(wèn)題：當(dāng)供應(yīng)鏈攻擊的威脅越來(lái)越大時(shí)，企業(yè)應(yīng)該如何降低風(fēng)險(xiǎn)?

[[412095]]

評(píng)估供應(yīng)商風(fēng)險(xiǎn)的10個(gè)優(yōu)秀實(shí)踐

雖然不能保證企業(yè)可以在供應(yīng)鏈攻擊發(fā)生之前檢測(cè)到它，但企業(yè)可以考慮下述10項(xiàng)最佳實(shí)踐，來(lái)幫助降低風(fēng)險(xiǎn)并驗(yàn)證其供應(yīng)鏈的安全性。

(1) 評(píng)估如果供應(yīng)商的IT基礎(chǔ)設(shè)施受到損害，每個(gè)供應(yīng)商可能對(duì)您的業(yè)務(wù)產(chǎn)生的影響。

雖然進(jìn)行全面風(fēng)險(xiǎn)評(píng)估是首選，但規(guī)模較小的組織可能沒(méi)有資源和能力進(jìn)行評(píng)估。不過(guò)，他們至少應(yīng)該分析最壞的情況并了解以下問(wèn)題：

• 針對(duì)該供應(yīng)商系統(tǒng)的勒索軟件攻擊將如何影響我的業(yè)務(wù)?
• 如果供應(yīng)商的源代碼被木馬病毒破壞，我的業(yè)務(wù)會(huì)受到什么影響?
• 如果供應(yīng)商的數(shù)據(jù)庫(kù)遭到破壞并且數(shù)據(jù)被盜，這將如何影響我的業(yè)務(wù)?

(2) 評(píng)估每個(gè)供應(yīng)商的內(nèi)部IT資源和能力。

他們是否有由安全經(jīng)理或CISO領(lǐng)導(dǎo)的專門(mén)網(wǎng)絡(luò)安全團(tuán)隊(duì)?確定供應(yīng)商的安全領(lǐng)導(dǎo)很重要，因?yàn)樗麄兛梢曰卮鹉膯?wèn)題。如果團(tuán)隊(duì)不存在此類職務(wù)或人員不足，沒(méi)有真正的領(lǐng)導(dǎo)，您可能需要慎重考慮與該供應(yīng)商的合作問(wèn)題。

(3) 與供應(yīng)商的安全經(jīng)理或CISO會(huì)面，了解他們?nèi)绾伪Ｗo(hù)其系統(tǒng)和數(shù)據(jù)。

這一過(guò)程可以通過(guò)簡(jiǎn)短的會(huì)議、電話，甚至是電子郵件對(duì)話完成，具體取決于步驟1中確定的風(fēng)險(xiǎn)。

(4) 索取證據(jù)來(lái)驗(yàn)證供應(yīng)商的主張。

滲透報(bào)告是一種有用的方法。確保測(cè)試范圍是適當(dāng)?shù)?，并在可能的情況下，要求提供兩次連續(xù)測(cè)試的報(bào)告，以驗(yàn)證供應(yīng)商是否根據(jù)其發(fā)現(xiàn)采取行動(dòng)。

(5) 如果您的供應(yīng)商是軟件供應(yīng)商，請(qǐng)要求進(jìn)行獨(dú)立的源代碼審查。

在某些情況下，供應(yīng)商可能會(huì)要求簽訂保密協(xié)議(NDA)才會(huì)共享完整報(bào)告或可能選擇不共享。發(fā)生這種情況時(shí)，請(qǐng)索取一份執(zhí)行摘要。

(6) 如果您的供應(yīng)商是云供應(yīng)商，可以掃描供應(yīng)商的網(wǎng)絡(luò)。

執(zhí)行Shodan搜索，或要求供應(yīng)商提供他們自己的掃描報(bào)告。如果您打算自己掃描，請(qǐng)從供應(yīng)商處獲得許可，并要求他們將客戶地址與他們自己的地址分開(kāi)，這樣您就不會(huì)掃描到不相關(guān)的內(nèi)容。

(7) 如果供應(yīng)商是軟件或云供應(yīng)商，查明供應(yīng)商是否正在運(yùn)行漏洞賞金計(jì)劃。

這些項(xiàng)目可以幫助組織在攻擊者有機(jī)會(huì)利用漏洞之前找到并修復(fù)漏洞。

(8) 詢問(wèn)您的供應(yīng)商他們?nèi)绾未_定風(fēng)險(xiǎn)的優(yōu)先級(jí)。

例如，通用漏洞評(píng)分系統(tǒng)(CVSS)是一種免費(fèi)且開(kāi)放的行業(yè)標(biāo)準(zhǔn)，用于評(píng)估計(jì)算機(jī)系統(tǒng)安全漏洞的嚴(yán)重性并分配嚴(yán)重性評(píng)分，以便供應(yīng)商可以優(yōu)先考慮風(fēng)險(xiǎn)響應(yīng)。

(9) 索取供應(yīng)商的漏洞修復(fù)報(bào)告。

他們擁有報(bào)告這一事實(shí)表明了他們對(duì)安全和管理漏洞的承諾。如果可能，請(qǐng)嘗試獲取由獨(dú)立實(shí)體生成的報(bào)告。

(10) 步驟1到9應(yīng)該每年重復(fù)一次，具體取決于供應(yīng)商面臨的威脅及其對(duì)企業(yè)的影響。

對(duì)于影響較小的供應(yīng)商，可以稍微放寬頻率;對(duì)于具有高風(fēng)險(xiǎn)且風(fēng)險(xiǎn)會(huì)嚴(yán)重影響企業(yè)業(yè)務(wù)的供應(yīng)商，企業(yè)可以制定永久性評(píng)估流程。但是，大型SaaS和IaaS提供商可能不愿意參與正在進(jìn)行的評(píng)估。

總結(jié)

通過(guò)遵循上述推薦的最佳實(shí)踐，企業(yè)可以識(shí)別與特定供應(yīng)商相關(guān)的風(fēng)險(xiǎn)，了解供應(yīng)商如何管理這些風(fēng)險(xiǎn)，并收集有關(guān)供應(yīng)商如何減輕這些風(fēng)險(xiǎn)的證據(jù)。基于此證據(jù)和風(fēng)險(xiǎn)偏好，企業(yè)可以做出是否與該供應(yīng)商合作的明智決定。最后，當(dāng)您執(zhí)行這些評(píng)估時(shí)，請(qǐng)以一致性為目標(biāo)并尋找隨時(shí)間變化的風(fēng)險(xiǎn)。

請(qǐng)記住，我們無(wú)法確?？梢宰柚构?yīng)鏈攻擊，但通過(guò)下一代反惡意軟件防護(hù)來(lái)保護(hù)您自己的環(huán)境，與您的用戶進(jìn)行持續(xù)的網(wǎng)絡(luò)安全培訓(xùn)，并遵循這些最佳實(shí)踐，可以降低組織面臨的風(fēng)險(xiǎn)。