商业安全
盲目信任合作伙伴和供应商的安全状况是不可持续的 - 现在是通过有效的供应商风险管理来控制的时候了
25 Jan 2024 • , 5分钟读
世界是建立在供应链之上的。它们是促进全球贸易和繁荣的结缔组织。但这些重叠且相互关联的公司网络变得越来越复杂和不透明。大多数涉及软件和数字服务的供应,或者至少在某种程度上依赖于在线交互。这使他们面临破坏和妥协的风险。
特别是中小型企业可能不会主动寻求或没有资源来管理其供应链的安全。但盲目地 信任您的合作伙伴和供应商的网络安全状况 在当前气候下是不可持续的。事实上,现在是认真管理供应链风险的时候了。
什么是供应链风险?
供应链网络风险可能有多种形式,从 勒索 数据盗窃、拒绝服务 (DDoS) 和欺诈。它们可能会影响传统的供应商,例如专业服务公司(例如律师、会计师)或商业软件供应商。攻击者还可能攻击托管服务提供商 (MSP),因为通过以这种方式危害单个公司,他们可以获得对潜在大量下游客户业务的访问权限。 去年的研究 据透露,90% 的 MSP 在过去 18 个月内遭受过网络攻击。
以下是供应链网络攻击的一些主要类型及其发生方式:
- 受损的专有软件: 网络犯罪分子变得越来越大胆。在某些情况下,他们能够找到一种方法来危害软件开发人员,并将恶意软件插入到随后交付给下游客户的代码中。这就是发生在 Kaseya 勒索软件活动。 在最近的一个案例中,流行的文件传输软件 MOVEit 被泄露 零日漏洞和数百名企业用户的数据被盗,影响了数百万客户。与此同时, 3CX 通信软件的妥协 这是历史上第一起公开记录的一次供应链攻击导致另一次攻击的事件。
- 对开源供应链的攻击: 大多数开发人员使用开源组件来加快其软件项目的上市时间。但威胁行为者知道这一点,并开始将恶意软件插入组件中,并使它们在流行的存储库中可用。 一份报告声称 此类攻击同比增加了 633%。威胁行为者还可以快速利用开源代码中的漏洞,而某些用户修补这些漏洞的速度可能很慢。这就是在几乎无处不在的工具中发现严重错误时发生的情况 称为 Log4j.
- 冒充供应商进行欺诈: 复杂的攻击称为 商业电子邮件泄露 (BEC) 有时会涉及欺诈者冒充供应商以欺骗客户向其汇款。攻击者通常会劫持属于一方或另一方的电子邮件帐户,监视电子邮件流,直到时机成熟时介入并发送带有更改的银行详细信息的虚假发票。
- 凭证盗窃: 攻击者 窃取登录信息 供应商试图破坏供应商或其客户(他们可以访问其网络)。这就是 2013 年 Target 大规模数据泄露事件中发生的情况 黑客窃取了凭证 该零售商的 HVAC 供应商之一。
- 数据盗窃: 许多供应商都会存储其客户的敏感数据,尤其是像律师事务所这样掌握机密公司机密的公司。对于寻求信息的威胁行为者来说,它们是一个有吸引力的目标 通过勒索获利 或其他方式。
您如何评估和降低供应商风险?
无论具体的供应链风险类型如何,最终结果都可能是相同的:财务和声誉受损以及诉讼风险、运营中断、销售损失和愤怒的客户。然而,可以通过遵循一些行业最佳实践来管理这些风险。这里有八个想法:
- 对任何新供应商进行尽职调查。 这意味着检查他们的安全计划是否符合您的期望,并且他们是否制定了用于威胁保护、检测和响应的基线措施。对于软件供应商来说,还应该考虑他们是否有适当的漏洞管理计划以及他们在产品质量方面的声誉如何。
- 管理开源风险。 这可能意味着使用软件组成分析 (SCA) 工具来获取软件组件的可见性,同时持续扫描漏洞和恶意软件,并及时修补任何错误。还要确保开发团队在开发产品时了解设计安全的重要性。
- 对所有供应商进行风险审查。 首先要了解您的供应商是谁,然后检查他们是否制定了基准安全措施。这应该延伸到他们自己的供应链。经常进行审核,并在适当的情况下检查是否符合行业标准和法规。
- 保留所有经批准的供应商的列表 并根据审核结果定期更新。定期审核和更新供应商名单将使组织能够进行彻底的风险评估,识别潜在的漏洞并确保供应商遵守网络安全标准。
- 为供应商制定正式的政策。 这应概述您降低供应商风险的要求,包括必须满足的任何 SLA。因此,它是一份基础文件,概述了供应商必须遵守的期望、标准和程序,以确保整个供应链的安全。
- 管理供应商准入风险。 如果供应商需要访问公司网络,则在供应商中强制执行最小特权原则。这可以部署为 零信任法,所有用户和设备在经过验证之前都是不可信的,持续的身份验证和网络监控增加了额外的风险缓解层。
- 制定事件响应计划。 如果出现最坏的情况,请确保您有一个经过充分演练的计划可供遵循,以便在威胁有机会影响组织之前将其遏制。这将包括如何与为您的供应商工作的团队联络。
- 考虑实施行业标准。 ISO 27001 和 ISO 28000 有很多有用的方法来实现上面列出的一些步骤,以最大限度地降低供应商风险。
据统计,去年美国的供应链攻击比基于恶意软件的攻击多了 40% 一份报告。它们造成的数据泄露影响了超过 10 万人。是时候通过更有效的供应商风险管理来收回控制权了。
- :具有
- :是
- :不是
- :在哪里
- 10 百万美元
- 10
- 2013
- a
- Able
- 关于
- 以上
- 加快
- ACCESS
- 根据
- 账号管理
- 认证
- 演员
- 添加
- 坚持
- 后
- 对齐
- 所有类型
- 靠
- 还
- 改变
- 其中
- an
- 分析
- 和
- 另一个
- 任何
- 适当
- 批准
- 保健
- AS
- 评估
- 评估
- 评估
- At
- 攻击
- 攻击
- 尝试
- 吸引力
- 审计
- 审计
- 认证
- 可使用
- 背部
- 银行
- 底线
- BE
- BEC
- 因为
- 很
- before
- 开始
- 属于
- 最佳
- 最佳实践
- 盲目
- 违反
- 违规
- 问题
- 虫子
- 建
- 商业
- 企业
- 但是
- by
- 营销活动
- CAN
- 案件
- 例
- 产品类别
- 链
- 链
- 机会
- 查
- 检查
- 客户
- 客户
- 气候
- 码
- 沟通
- 公司
- 公司
- 复杂
- 组件
- 写作
- 妥协
- 折中
- 进行
- 包含
- 连续
- 控制
- 公司
- 可以
- 危急
- 电流
- 合作伙伴
- 网络
- 网络攻击
- 网络安全
- 损伤
- data
- DDoS攻击
- 提升
- 拒绝服务
- 部署
- 设计
- 详情
- 检测
- 开发商
- 开发
- 发展
- 设备
- 数字
- 数字化服务
- 勤勉
- 瓦解
- do
- 文件
- 向下
- 两
- e
- 有效
- 八
- 或
- 邮箱地址
- enable
- 结束
- 确保
- 保证
- 特别
- 活动
- 期望
- 利用
- 延长
- 额外
- 功能有助于
- 假
- 文件
- 金融
- 找到最适合您的地方
- 企业
- 有史以来头一次
- 流动
- 遵循
- 以下
- 针对
- 正式
- 形式
- 发现
- 基础
- 骗局
- 骗子
- 频繁
- 止
- Gain增益
- 得到
- 越来越
- 全球
- 全球交易
- Go
- 发生
- 发生
- 有
- 相关信息
- 劫持
- 历史
- 创新中心
- How To
- HTML
- HTTPS
- 数百
- 思路
- 确定
- if
- 影响力故事
- 影响
- 实施
- 重要性
- in
- 事件
- 事件响应
- 包括
- 包含
- 增加
- 日益
- 的确
- 个人
- 行业中的应用:
- 行业标准
- 信息
- 互动
- 亲密
- 成
- 发票
- 涉及
- ISO
- IT
- 一月三十一日
- JPG
- 知道
- 已知
- 大
- (姓氏)
- 去年
- 法律
- 律师事务所
- 律师
- 层
- 领导
- 最少
- 联络
- 喜欢
- 清单
- 已发布
- 寻找
- 丢失
- 很多
- 主要
- 制作
- 恶意软件
- 管理
- 管理
- 颠覆性技术
- 管理的
- 许多
- 市场
- 大规模
- 最大宽度
- 可能..
- 意味着
- 手段
- 与此同时
- 措施
- 一半
- 可能
- 百万
- 百万
- 分钟
- 减轻
- 缓解
- 减轻
- 钱
- 监控
- 个月
- 更多
- 最先进的
- 必须
- 网络
- 网络
- 全新
- 数
- of
- on
- 一
- 在线
- 不透明
- 打开
- 开放源码
- 操作
- or
- 秩序
- 组织
- 组织
- 其他名称
- 输出
- 停机
- 轮廓
- 概述
- 超过
- 最划算
- 己
- 部分
- 特别
- 伙伴
- 党
- 过去
- 打补丁
- 修补
- PHIL
- 地方
- 计划
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 政策
- 热门
- 可能
- 潜力
- 可能
- 做法
- 以前
- 原理
- 特权
- 程序
- 核心产品
- 所以专业
- 曲目
- 项目
- 所有权
- 繁荣
- 保护
- 供应商
- 公然
- 认沽期权
- 质量
- 快速
- 勒索
- 最近
- 关于
- 定期
- 经常
- 法规
- 报告
- 代表
- 声誉
- 要求
- 岗位要求
- 资源
- 响应
- 导致
- 成果
- 揭密
- 检讨
- 右
- 风险
- 变更管理
- 风险
- 销售
- 同
- 扫描
- 脚本
- 秘密
- 保安
- 保安措施
- 提交
- 敏感
- 严重
- 服务
- 服务
- 服务供应商
- 特色服务
- 应该
- 单
- 放慢
- 软件
- 软件组件
- 软件开发者
- 一些
- 有时
- 极致
- 来源
- 源代码
- 具体的
- 标准
- 启动
- 步
- 步骤
- 偷了
- 被盗
- 商店
- 后来
- 这样
- 遭遇
- 供应商
- 供销商
- 供应
- 供应链
- 供应链
- 可持续发展
- 采取
- 目标
- 队
- 比
- 这
- 盗窃
- 其
- 他们
- 然后
- 那里。
- 博曼
- 他们
- Free Introduction
- 威胁
- 威胁者
- 通过
- 次
- 至
- 工具
- 工具
- 贸易
- 传统
- 转让
- 信任
- 信任
- 类型
- 类型
- 理解
- 理解
- 直到
- 更新
- 更新
- us
- 使用
- 有用
- 用户
- 运用
- 平时
- 厂商
- 专利
- 通过
- 能见度
- 漏洞
- 漏洞
- 是
- 方法..
- 方法
- 去
- 为
- 什么是
- ,尤其是
- 是否
- 这
- WHO
- 谁的
- 将
- 加工
- 世界
- 最差
- 年
- 但
- 完全
- 您一站式解决方案
- 和风网