复杂的供应链有复杂的安全性要求,想要确保供应链的安全就要尽可能地做到这些。
公司主营业务:成都做网站、网站设计、移动网站开发等业务。帮助企业客户真正实现互联网宣传,提高企业的竞争能力。成都创新互联公司是一支青春激扬、勤奋敬业、活力青春激扬、勤奋敬业、活力澎湃、和谐高效的团队。公司秉承以“开放、自由、严谨、自律”为核心的企业文化,感谢他们对我们的高要求,感谢他们从不同领域给我们带来的挑战,让我们激情的团队有机会用头脑与智慧不断的给客户带来惊喜。成都创新互联公司推出玛纳斯免费做网站回馈大家。
左右兼顾
将供应链安全视为组织内部的事情,这是一个非常局限且危险的假设。Tripwire 的产品管理与策略副总裁 Tim Erlin 表示“当考虑保护供应链安全时,必须同时考虑上游与下游。向我们提供产品的供应商和我们作为供应商提供产品的客户都应该在供应链安全的考虑范围内”。
因为涉及到供应链的上下游,首先就要知道供应链链接了哪些组织。Erlin 表示“理想情况下,应该能够识别、处理与组织打交道的任何组织都有权访问的数据”。
关于 API 安全性的讨论有很多,大多数都集中在组织或者供应商的 API 上。同时也应该注意客户要求使用的 API 和服务,保证整个供应链的安全性。
合同优先
供应链中任何环节发生问题,产生的后果和责任都会在上下游带来很大的影响。KnowBe4 的安全意识倡导官 James McQuiggan 表示“如果第三方遭受数据泄露或攻击,双方之间的合同应该确定数据泄露以及为支持该类事件而进行的程序”。原因很简单,因为失败可能会给组织带来更大的风险和损失。
尽管合同和协议倾向于考虑已知威胁与事件,但也可以对新威胁的响应过程和程序做出安排。一些业务部门必须具有承担合同中的法规或法律责任的义务。例如,美国国防部发布的网络安全成熟度模型认证(CMMC)框架,在未来所有国防部合同中强制规定了相应条款。国防部的主承包商和分包商必须满足所有国防部合同要求的 CMMC 成熟度水平,否则会被取消竞争资格。
关键行业中,快速响应的能力尤为重要。NCC 区域总监 Jeff Roth 解释说“医疗服务提供商,从实体到商业伙伴,都在进行电子化。在快速提供病患所需数据的同时还要保证数据交付服务的安全性,这是一个具有挑战性的工作”。
了解数据
在供应链上下游保护数据很重要,但如果不知道共享哪些数据就无法进行保护。尤其是只有设备彼此交换数据,将人排除在外时。
“物联网设备通常是关键,很少有设备是孤立存在的,而物联网的互联网组件也反映了这种依赖性”,信息安全论坛的管理总监 Steve Durbin 如是说。“智能化需要多个设备协同工作,通常需要数量很多的设备作为输入”。
现在的自动化流程可能需要 IT、OT 甚至消费类设备的参与,而不同类型的设备都有不同的安全需求。了解系统之间的数据流是进行安全防护的一部分。
牢记流程
将安全问题限定在供应链技术和基础架构是很自然的,但是要记住操作流程也会对安全产生影响。Vectra 的 Morales 表示“风险通常也与操作流程有关,而不是只和代码中的缺陷或漏洞有关”。
善用审查
无论对供应链有多大的信任度,确保处理和移动数据时采取了必要的保护措施都是至关重要的。KnowBe4 的 McQuiggan 表示“组织需要对所有具有远程访问权限或提供电子产品的供应商进行审查和年检”,“信任但验证的概念包括有关产品开发生命周期的第三方网络安全政策的审查,这是了解产品漏洞的良好开始”。
Positive Technologies 的信息安全分析主管 Evgeny Gnedin 认为“对供应链攻击来说,最危险的是攻击者可能在很长一段时间内都不会被注意到,而且攻击本身也很可能会成功”。同时,Gnedin 指出多个成功的供应链攻击的示例,从针对华硕的 Rowhammer 到 NetPetya 和 Magecart 等。“通过转向供应链攻击,使犯罪分子大大扩展了受害者的范围。”
小也重要
在某些情况下,供应链中大型组织的安全虽然处理相对麻烦,但是往往能够提供资源从政策的指定到具体实施来保障安全。小公司则缺乏专业知识和相关资源。NCC 的 Roth 提出了一些具体的建议:
高层意识
首先将风险机进行归类:
供应链给组织带来的风险既可以是战略性的也可以是战术性的。Digital Shadows 的 Guirakhoo 表示“当组织依赖大量第三方,从而大大增加潜在攻击面,这甚至会更加困难”。所构成的风险可能是战略关系和伙伴关系的问题,使高级管理层意识到问题的严重性并将其纳入决策过程以进行响应和补救。
关注云端
“现在许多重要数据都存储在云上,这为犯罪分子提供了机会。通过攻击云端可以破坏整个供应链的安全并摧毁关键信息基础设施”。
软件和服务基本上由现有软件、服务和模块构建而成,从而依赖和嵌套的产品越来越深。Accurica 联合创始人兼首席执行官 Sachin Aggarwal 表示“许多云基础架构和 SaaS 应用都由许多组件构成,通常都包含开源产品”,“例如,Amozon Web Services 使用 Linux、Java、Kubernetes、Xen 和 KVM,这些组件具备成本优势,但会带来安全风险,组织需要关注并减轻这些风险”。
确定和审查软件供应链中每个组件的安全性以及云端的供应链安全是一项庞大的工程,但这也是确保组织供应链安全必不可少的一部分。
名称栏目:确保供应链安全的八个要求
分享链接:http://www.shufengxianlan.com/qtweb/news7/152207.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联