偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

警惕供應(yīng)鏈安全:判斷供應(yīng)商安全性的十種方法

安全 應(yīng)用安全
事實(shí)證明,無(wú)論規(guī)模大小,各類組織都淪為了供應(yīng)鏈攻擊的受害者。這就引出了一個(gè)問(wèn)題:當(dāng)供應(yīng)鏈攻擊的威脅越來(lái)越大時(shí),企業(yè)應(yīng)該如何降低風(fēng)險(xiǎn)?

自SolarWinds供應(yīng)鏈攻擊事件以來(lái),人們?cè)絹?lái)越關(guān)注各種規(guī)模的組織如何確保其供應(yīng)商的安全。事實(shí)證明,無(wú)論規(guī)模大小,各類組織都淪為了供應(yīng)鏈攻擊的受害者。即便是坐擁政府資源和資金的美國(guó)財(cái)政部和國(guó)土安全部同樣難逃魔爪——它們也在SolarWinds攻擊事件中受到了影響。

遺憾的現(xiàn)實(shí)是,供應(yīng)鏈攻擊并不會(huì)消失。2021年第一季度,137家組織報(bào)告稱在27家不同的第三方供應(yīng)商處遭受了供應(yīng)鏈攻擊,而供應(yīng)鏈攻擊的數(shù)量比上一季度增長(zhǎng)了42%。

這就引出了一個(gè)問(wèn)題:當(dāng)供應(yīng)鏈攻擊的威脅越來(lái)越大時(shí),企業(yè)應(yīng)該如何降低風(fēng)險(xiǎn)?

[[412095]]

評(píng)估供應(yīng)商風(fēng)險(xiǎn)的10個(gè)優(yōu)秀實(shí)踐

雖然不能保證企業(yè)可以在供應(yīng)鏈攻擊發(fā)生之前檢測(cè)到它,但企業(yè)可以考慮下述10項(xiàng)最佳實(shí)踐,來(lái)幫助降低風(fēng)險(xiǎn)并驗(yàn)證其供應(yīng)鏈的安全性。

(1) 評(píng)估如果供應(yīng)商的IT基礎(chǔ)設(shè)施受到損害,每個(gè)供應(yīng)商可能對(duì)您的業(yè)務(wù)產(chǎn)生的影響。

雖然進(jìn)行全面風(fēng)險(xiǎn)評(píng)估是首選,但規(guī)模較小的組織可能沒(méi)有資源和能力進(jìn)行評(píng)估。不過(guò),他們至少應(yīng)該分析最壞的情況并了解以下問(wèn)題:

  • 針對(duì)該供應(yīng)商系統(tǒng)的勒索軟件攻擊將如何影響我的業(yè)務(wù)?
  • 如果供應(yīng)商的源代碼被木馬病毒破壞,我的業(yè)務(wù)會(huì)受到什么影響?
  • 如果供應(yīng)商的數(shù)據(jù)庫(kù)遭到破壞并且數(shù)據(jù)被盜,這將如何影響我的業(yè)務(wù)?

(2) 評(píng)估每個(gè)供應(yīng)商的內(nèi)部IT資源和能力。

他們是否有由安全經(jīng)理或CISO領(lǐng)導(dǎo)的專門(mén)網(wǎng)絡(luò)安全團(tuán)隊(duì)?確定供應(yīng)商的安全領(lǐng)導(dǎo)很重要,因?yàn)樗麄兛梢曰卮鹉膯?wèn)題。如果團(tuán)隊(duì)不存在此類職務(wù)或人員不足,沒(méi)有真正的領(lǐng)導(dǎo),您可能需要慎重考慮與該供應(yīng)商的合作問(wèn)題。

(3) 與供應(yīng)商的安全經(jīng)理或CISO會(huì)面,了解他們?nèi)绾伪Wo(hù)其系統(tǒng)和數(shù)據(jù)。

這一過(guò)程可以通過(guò)簡(jiǎn)短的會(huì)議、電話,甚至是電子郵件對(duì)話完成,具體取決于步驟1中確定的風(fēng)險(xiǎn)。

(4) 索取證據(jù)來(lái)驗(yàn)證供應(yīng)商的主張。

滲透報(bào)告是一種有用的方法。確保測(cè)試范圍是適當(dāng)?shù)?,并在可能的情況下,要求提供兩次連續(xù)測(cè)試的報(bào)告,以驗(yàn)證供應(yīng)商是否根據(jù)其發(fā)現(xiàn)采取行動(dòng)。

(5) 如果您的供應(yīng)商是軟件供應(yīng)商,請(qǐng)要求進(jìn)行獨(dú)立的源代碼審查。

在某些情況下,供應(yīng)商可能會(huì)要求簽訂保密協(xié)議(NDA)才會(huì)共享完整報(bào)告或可能選擇不共享。發(fā)生這種情況時(shí),請(qǐng)索取一份執(zhí)行摘要。

(6) 如果您的供應(yīng)商是云供應(yīng)商,可以掃描供應(yīng)商的網(wǎng)絡(luò)。

執(zhí)行Shodan搜索,或要求供應(yīng)商提供他們自己的掃描報(bào)告。如果您打算自己掃描,請(qǐng)從供應(yīng)商處獲得許可,并要求他們將客戶地址與他們自己的地址分開(kāi),這樣您就不會(huì)掃描到不相關(guān)的內(nèi)容。

(7) 如果供應(yīng)商是軟件或云供應(yīng)商,查明供應(yīng)商是否正在運(yùn)行漏洞賞金計(jì)劃。

這些項(xiàng)目可以幫助組織在攻擊者有機(jī)會(huì)利用漏洞之前找到并修復(fù)漏洞。

(8) 詢問(wèn)您的供應(yīng)商他們?nèi)绾未_定風(fēng)險(xiǎn)的優(yōu)先級(jí)。

例如,通用漏洞評(píng)分系統(tǒng)(CVSS)是一種免費(fèi)且開(kāi)放的行業(yè)標(biāo)準(zhǔn),用于評(píng)估計(jì)算機(jī)系統(tǒng)安全漏洞的嚴(yán)重性并分配嚴(yán)重性評(píng)分,以便供應(yīng)商可以優(yōu)先考慮風(fēng)險(xiǎn)響應(yīng)。

(9) 索取供應(yīng)商的漏洞修復(fù)報(bào)告。

他們擁有報(bào)告這一事實(shí)表明了他們對(duì)安全和管理漏洞的承諾。如果可能,請(qǐng)嘗試獲取由獨(dú)立實(shí)體生成的報(bào)告。

(10) 步驟1到9應(yīng)該每年重復(fù)一次,具體取決于供應(yīng)商面臨的威脅及其對(duì)企業(yè)的影響。

對(duì)于影響較小的供應(yīng)商,可以稍微放寬頻率;對(duì)于具有高風(fēng)險(xiǎn)且風(fēng)險(xiǎn)會(huì)嚴(yán)重影響企業(yè)業(yè)務(wù)的供應(yīng)商,企業(yè)可以制定永久性評(píng)估流程。但是,大型SaaS和IaaS提供商可能不愿意參與正在進(jìn)行的評(píng)估。

總結(jié)

通過(guò)遵循上述推薦的最佳實(shí)踐,企業(yè)可以識(shí)別與特定供應(yīng)商相關(guān)的風(fēng)險(xiǎn),了解供應(yīng)商如何管理這些風(fēng)險(xiǎn),并收集有關(guān)供應(yīng)商如何減輕這些風(fēng)險(xiǎn)的證據(jù)。基于此證據(jù)和風(fēng)險(xiǎn)偏好,企業(yè)可以做出是否與該供應(yīng)商合作的明智決定。最后,當(dāng)您執(zhí)行這些評(píng)估時(shí),請(qǐng)以一致性為目標(biāo)并尋找隨時(shí)間變化的風(fēng)險(xiǎn)。

請(qǐng)記住,我們無(wú)法確??梢宰柚构?yīng)鏈攻擊,但通過(guò)下一代反惡意軟件防護(hù)來(lái)保護(hù)您自己的環(huán)境,與您的用戶進(jìn)行持續(xù)的網(wǎng)絡(luò)安全培訓(xùn),并遵循這些最佳實(shí)踐,可以降低組織面臨的風(fēng)險(xiǎn)。

 

責(zé)任編輯:趙寧寧 來(lái)源: FreeBuf
相關(guān)推薦

2023-02-23 07:52:20

2022-11-11 09:12:45

2012-11-14 10:14:34

2022-10-19 13:55:55

2023-12-06 09:27:09

人工智能區(qū)塊鏈

2023-01-12 11:15:58

2021-10-27 10:50:14

人工智能AI機(jī)器學(xué)習(xí)

2010-09-30 11:28:31

網(wǎng)絡(luò)供應(yīng)商服務(wù)器虛擬化安全

2022-03-10 08:16:14

Kubernetes軟件供應(yīng)鏈

2023-05-27 00:35:18

2010-09-30 16:10:30

2024-06-14 15:03:43

2022-01-13 10:24:53

供應(yīng)鏈攻擊供應(yīng)商第三方攻擊

2022-07-14 08:47:02

IT供應(yīng)商入庫(kù)

2018-02-07 05:06:41

2016-09-08 19:01:07

Docker內(nèi)網(wǎng)安全軟件供應(yīng)鏈

2021-06-18 14:36:39

Google軟件供應(yīng)鏈安全框架

2019-10-24 08:41:06

供應(yīng)商安全信息安全數(shù)據(jù)泄露

2013-08-23 09:34:37

2013-08-23 09:13:44

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)