供應(yīng)鏈攻擊持續(xù)呈上升趨勢，許多企業(yè)似乎不確定如何應(yīng)對這樣的威脅，Datto第三方風(fēng)險經(jīng)理Jaime Arze在近期的一次公開分享中，為企業(yè)提出了以下幾個步驟，來最大程度地降低企業(yè)也卷入供應(yīng)鏈違規(guī)的風(fēng)險。

　　對技術(shù)體系進行全面的 IT 審查

　　“你無法保護你看不到的東西，”Jaime Arze表示，為了最大限度地減少未知因素，企業(yè)首先需要對 IT 環(huán)境進行全面審計，準(zhǔn)確了解到正在使用哪些硬件、軟件和SaaS 產(chǎn)品，包括任何未經(jīng)批準(zhǔn)的影子IT資產(chǎn)，哪里存在安全漏洞，以及企業(yè)的業(yè)務(wù)依都賴哪些供應(yīng)商和合作伙伴，包括是怎么跟他們的產(chǎn)品工具交互協(xié)作的，從這些產(chǎn)品工具處理的數(shù)據(jù)類型、系統(tǒng)接口和各種集成級別都需要了解清楚。

　　接下來，企業(yè)需要評估每個供應(yīng)商對業(yè)務(wù)的重要性。如果存在冗余或者是不必要的，則需要盡快處置解決。同時，應(yīng)該根據(jù)供應(yīng)商提供的服務(wù)類型，記錄好每一個接入、替換或取消的供應(yīng)商，保持供應(yīng)商清單的及時更新和信息準(zhǔn)確，這些關(guān)系是識別和最小化任何固有風(fēng)險的起點。

　　提出正確的問題

　　在評估供應(yīng)商的安全風(fēng)險時，企業(yè)需要優(yōu)先考慮那些最重要的供應(yīng)商，即如果終止合作將對企業(yè)的業(yè)務(wù)運營造成更大的損害甚至中斷的合作伙伴。

　　企業(yè)不僅要關(guān)注供應(yīng)商提供的產(chǎn)品功能，在安全層面，需要了解您的供應(yīng)商的安全能力有多強，目前的安全態(tài)勢是怎樣的，他們對易受攻擊的領(lǐng)域有什么理解，他們是如何加強防御的？無論企業(yè)規(guī)模有多小，都應(yīng)該準(zhǔn)備好一系列明確定義的要求，雖然這些問題可能令人不安，但是具體的、有針對性的提問才可能引導(dǎo)出確切的、好的結(jié)果。

　　了解到供應(yīng)商自身的安全態(tài)勢之后，企業(yè)就需要評估他們可能會給自身帶來哪些風(fēng)險，以及他們正在采取哪些措施來縮小這些差距。企業(yè)的供應(yīng)鏈組合中的每個供應(yīng)商都應(yīng)該能夠解釋他們在如何保護自己和客戶免受攻擊，包括他們?nèi)绾蜗拗茖ο到y(tǒng)的訪問以及他們?nèi)绾渭用軘?shù)據(jù)，等等。最基礎(chǔ)的，他們是否遵循了行業(yè)標(biāo)準(zhǔn)，滿足了合規(guī)保護義務(wù)，他們能否證明他們正在以與您相一致的方式保護客戶數(shù)據(jù)的機密性、完整性和可用性？供應(yīng)商應(yīng)該要能夠展示對其安全性能的獨立審計，或者是相關(guān)資質(zhì)、合規(guī)證明等。

　　設(shè)定對業(yè)務(wù)連續(xù)性的期望

　　在業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)方面，設(shè)定明確的預(yù)期非常重要。一般來說，可用性是企業(yè)最關(guān)心、最重要的一個問題，建議在合同中寫入SLA，即雙方就服務(wù)的安全品質(zhì)、安全水準(zhǔn)、性能安全等方面需要達成明確的的協(xié)議，并且供應(yīng)商應(yīng)該有一個充分且記錄良好的安全事件響應(yīng)計劃。如果他們沒有正式的、經(jīng)過測試的BCDR （容災(zāi)解決方案）策略可供審查，請準(zhǔn)備好共同制定并實施，為下一次安全審查做好準(zhǔn)備。

　　建立網(wǎng)絡(luò)安全文化

　　這是一個老生常態(tài)的問題，人仍然是安全中最薄弱的環(huán)節(jié)。為了減輕這種風(fēng)險，企業(yè)需要建立一種強大的安全文化，該文化建立在廣泛的員工培訓(xùn)基礎(chǔ)上，并輔以適當(dāng)?shù)耐{預(yù)防和監(jiān)控工具。員工們必須知道如何發(fā)現(xiàn)可疑活動，例如識別網(wǎng)絡(luò)釣魚電子郵件，企業(yè)應(yīng)該并且應(yīng)始終強烈鼓勵大家報告任何不尋常的事情，無論它看起來多么微不足道。

　　持續(xù)管理供應(yīng)商

　　完成初始風(fēng)險評估后，企業(yè)不要忘記跟進調(diào)查結(jié)果。在建立了識別最關(guān)鍵供應(yīng)商的標(biāo)準(zhǔn)后，還需要采取適當(dāng)?shù)姆椒▉沓掷m(xù)評估它們，通常來講，第一層的供應(yīng)商應(yīng)被視為業(yè)務(wù)的延伸，因此應(yīng)具有與企業(yè)自身設(shè)置的政策、程序、流程相似或更好的能力。

　　管理供應(yīng)商是一個持續(xù)的過程，而不是一次性的勾選和判斷，所以要堅持保持透明化的狀態(tài)。企業(yè)的合作伙伴的安全計劃應(yīng)該朝著正確的方向發(fā)展，他們應(yīng)該能夠證明他們能夠適應(yīng)不斷變化的威脅。

　　此外，隨著供應(yīng)商關(guān)系的增長，盡職調(diào)查和安全期望的水平也必須提高。每個合同關(guān)系都帶有一定程度的責(zé)任感，合同中的安全協(xié)議不僅可以通過讓供應(yīng)商遵守最佳實踐來保護企業(yè)組，它還將為整個關(guān)系設(shè)定基調(diào)和節(jié)奏，它將使雙方遵守在發(fā)生事故時應(yīng)滿足的標(biāo)準(zhǔn)。事件響應(yīng)、數(shù)據(jù)檢索、數(shù)據(jù)所有權(quán)和評估權(quán)都應(yīng)事先達成一致。

　　總而言之，Jaime Arze強調(diào)，企業(yè)可以而且必須要求其供應(yīng)商提供高質(zhì)量的安全方案。畢竟，值得信賴的供應(yīng)商的地位不是通過關(guān)系的長短來獲得的，而是來自于安全方面的更大的透明度。選擇與合格的供應(yīng)商合作，找出可能的弱點，并繼續(xù)定期審查自身和他們的防御措施，建立這種信任最終將幫助企業(yè)應(yīng)對來自供應(yīng)鏈攻擊的重重風(fēng)險。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<