自SolarWinds供應(yīng)鏈攻擊事件以來，人們越來越關(guān)注各種規(guī)模的組織如何確保其供應(yīng)商的安全。事實證明，無論規(guī)模大小，各類組織都淪為了供應(yīng)鏈攻擊的受害者。即便是坐擁政府資源和資金的美國財政部和國土安全部同樣難逃魔爪——它們也在SolarWinds攻擊事件中受到了影響。

遺憾的現(xiàn)實是，供應(yīng)鏈攻擊并不會消失。2021年第一季度，137家組織報告稱在27家不同的第三方供應(yīng)商處遭受了供應(yīng)鏈攻擊，而供應(yīng)鏈攻擊的數(shù)量比上一季度增長了42%。

這就引出了一個問題：當(dāng)供應(yīng)鏈攻擊的威脅越來越大時，企業(yè)應(yīng)該如何降低風(fēng)險?

[[412095]]

評估供應(yīng)商風(fēng)險的10個優(yōu)秀實踐

雖然不能保證企業(yè)可以在供應(yīng)鏈攻擊發(fā)生之前檢測到它，但企業(yè)可以考慮下述10項最佳實踐，來幫助降低風(fēng)險并驗證其供應(yīng)鏈的安全性。

(1) 評估如果供應(yīng)商的IT基礎(chǔ)設(shè)施受到損害，每個供應(yīng)商可能對您的業(yè)務(wù)產(chǎn)生的影響。

雖然進(jìn)行全面風(fēng)險評估是首選，但規(guī)模較小的組織可能沒有資源和能力進(jìn)行評估。不過，他們至少應(yīng)該分析最壞的情況并了解以下問題：

• 針對該供應(yīng)商系統(tǒng)的勒索軟件攻擊將如何影響我的業(yè)務(wù)?
• 如果供應(yīng)商的源代碼被木馬病毒破壞，我的業(yè)務(wù)會受到什么影響?
• 如果供應(yīng)商的數(shù)據(jù)庫遭到破壞并且數(shù)據(jù)被盜，這將如何影響我的業(yè)務(wù)?

(2) 評估每個供應(yīng)商的內(nèi)部IT資源和能力。

他們是否有由安全經(jīng)理或CISO領(lǐng)導(dǎo)的專門網(wǎng)絡(luò)安全團(tuán)隊?確定供應(yīng)商的安全領(lǐng)導(dǎo)很重要，因為他們可以回答您的問題。如果團(tuán)隊不存在此類職務(wù)或人員不足，沒有真正的領(lǐng)導(dǎo)，您可能需要慎重考慮與該供應(yīng)商的合作問題。

(3) 與供應(yīng)商的安全經(jīng)理或CISO會面，了解他們?nèi)绾伪Ｗo(hù)其系統(tǒng)和數(shù)據(jù)。

這一過程可以通過簡短的會議、電話，甚至是電子郵件對話完成，具體取決于步驟1中確定的風(fēng)險。

(4) 索取證據(jù)來驗證供應(yīng)商的主張。

滲透報告是一種有用的方法。確保測試范圍是適當(dāng)?shù)?，并在可能的情況下，要求提供兩次連續(xù)測試的報告，以驗證供應(yīng)商是否根據(jù)其發(fā)現(xiàn)采取行動。

(5) 如果您的供應(yīng)商是軟件供應(yīng)商，請要求進(jìn)行獨立的源代碼審查。

在某些情況下，供應(yīng)商可能會要求簽訂保密協(xié)議(NDA)才會共享完整報告或可能選擇不共享。發(fā)生這種情況時，請索取一份執(zhí)行摘要。

(6) 如果您的供應(yīng)商是云供應(yīng)商，可以掃描供應(yīng)商的網(wǎng)絡(luò)。

執(zhí)行Shodan搜索，或要求供應(yīng)商提供他們自己的掃描報告。如果您打算自己掃描，請從供應(yīng)商處獲得許可，并要求他們將客戶地址與他們自己的地址分開，這樣您就不會掃描到不相關(guān)的內(nèi)容。

(7) 如果供應(yīng)商是軟件或云供應(yīng)商，查明供應(yīng)商是否正在運行漏洞賞金計劃。

這些項目可以幫助組織在攻擊者有機(jī)會利用漏洞之前找到并修復(fù)漏洞。

(8) 詢問您的供應(yīng)商他們?nèi)绾未_定風(fēng)險的優(yōu)先級。

例如，通用漏洞評分系統(tǒng)(CVSS)是一種免費且開放的行業(yè)標(biāo)準(zhǔn)，用于評估計算機(jī)系統(tǒng)安全漏洞的嚴(yán)重性并分配嚴(yán)重性評分，以便供應(yīng)商可以優(yōu)先考慮風(fēng)險響應(yīng)。

(9) 索取供應(yīng)商的漏洞修復(fù)報告。

他們擁有報告這一事實表明了他們對安全和管理漏洞的承諾。如果可能，請嘗試獲取由獨立實體生成的報告。

(10) 步驟1到9應(yīng)該每年重復(fù)一次，具體取決于供應(yīng)商面臨的威脅及其對企業(yè)的影響。

對于影響較小的供應(yīng)商，可以稍微放寬頻率;對于具有高風(fēng)險且風(fēng)險會嚴(yán)重影響企業(yè)業(yè)務(wù)的供應(yīng)商，企業(yè)可以制定永久性評估流程。但是，大型SaaS和IaaS提供商可能不愿意參與正在進(jìn)行的評估。

總結(jié)

通過遵循上述推薦的最佳實踐，企業(yè)可以識別與特定供應(yīng)商相關(guān)的風(fēng)險，了解供應(yīng)商如何管理這些風(fēng)險，并收集有關(guān)供應(yīng)商如何減輕這些風(fēng)險的證據(jù)?；诖俗C據(jù)和風(fēng)險偏好，企業(yè)可以做出是否與該供應(yīng)商合作的明智決定。最后，當(dāng)您執(zhí)行這些評估時，請以一致性為目標(biāo)并尋找隨時間變化的風(fēng)險。

請記住，我們無法確?？梢宰柚构?yīng)鏈攻擊，但通過下一代反惡意軟件防護(hù)來保護(hù)您自己的環(huán)境，與您的用戶進(jìn)行持續(xù)的網(wǎng)絡(luò)安全培訓(xùn)，并遵循這些最佳實踐，可以降低組織面臨的風(fēng)險。