供应链攻击持续呈上升趋势,许多企业似乎不确定如何应对这样的威胁,Datto第三方风险经理Jaime Arze在近期的一次公开分享中,为企业提出了以下几个步骤,来最大程度地降低企业也卷入供应链违规的风险。
对技术体系进行全面的 IT 审查
“你无法保护你看不到的东西,”Jaime Arze表示,为了最大限度地减少未知因素,企业首先需要对 IT 环境进行全面审计,准确了解到正在使用哪些硬件、软件和SaaS 产品,包括任何未经批准的影子IT资产,哪里存在安全漏洞,以及企业的业务依都赖哪些供应商和合作伙伴,包括是怎么跟他们的产品工具交互协作的,从这些产品工具处理的数据类型、系统接口和各种集成级别都需要了解清楚。
接下来,企业需要评估每个供应商对业务的重要性。如果存在冗余或者是不必要的,则需要尽快处置解决。同时,应该根据供应商提供的服务类型,记录好每一个接入、替换或取消的供应商,保持供应商清单的及时更新和信息准确,这些关系是识别和最小化任何固有风险的起点。
提出正确的问题
在评估供应商的安全风险时,企业需要优先考虑那些最重要的供应商,即如果终止合作将对企业的业务运营造成更大的损害甚至中断的合作伙伴。
企业不仅要关注供应商提供的产品功能,在安全层面,需要了解您的供应商的安全能力有多强,目前的安全态势是怎样的,他们对易受攻击的领域有什么理解,他们是如何加强防御的?无论企业规模有多小,都应该准备好一系列明确定义的要求,虽然这些问题可能令人不安,但是具体的、有针对性的提问才可能引导出确切的、好的结果。
了解到供应商自身的安全态势之后,企业就需要评估他们可能会给自身带来哪些风险,以及他们正在采取哪些措施来缩小这些差距。企业的供应链组合中的每个供应商都应该能够解释他们在如何保护自己和客户免受攻击,包括他们如何限制对系统的访问以及他们如何加密数据,等等。最基础的,他们是否遵循了行业标准,满足了合规保护义务,他们能否证明他们正在以与您相一致的方式保护客户数据的机密性、完整性和可用性?供应商应该要能够展示对其安全性能的独立审计,或者是相关资质、合规证明等。
设定对业务连续性的期望
在业务连续性和灾难恢复方面,设定明确的预期非常重要。一般来说,可用性是企业最关心、最重要的一个问题,建议在合同中写入SLA,即双方就服务的安全品质、安全水准、性能安全等方面需要达成明确的的协议,并且供应商应该有一个充分且记录良好的安全事件响应计划。如果他们没有正式的、经过测试的BCDR (容灾解决方案)策略可供审查,请准备好共同制定并实施,为下一次安全审查做好准备。
建立网络安全文化
这是一个老生常态的问题,人仍然是安全中最薄弱的环节。为了减轻这种风险,企业需要建立一种强大的安全文化,该文化建立在广泛的员工培训基础上,并辅以适当的威胁预防和监控工具。员工们必须知道如何发现可疑活动,例如识别网络钓鱼电子邮件,企业应该并且应始终强烈鼓励大家报告任何不寻常的事情,无论它看起来多么微不足道。
持续管理供应商
完成初始风险评估后,企业不要忘记跟进调查结果。在建立了识别最关键供应商的标准后,还需要采取适当的方法来持续评估它们,通常来讲,第一层的供应商应被视为业务的延伸,因此应具有与企业自身设置的政策、程序、流程相似或更好的能力。
管理供应商是一个持续的过程,而不是一次性的勾选和判断,所以要坚持保持透明化的状态。企业的合作伙伴的安全计划应该朝着正确的方向发展,他们应该能够证明他们能够适应不断变化的威胁。
此外,随着供应商关系的增长,尽职调查和安全期望的水平也必须提高。每个合同关系都带有一定程度的责任感,合同中的安全协议不仅可以通过让供应商遵守最佳实践来保护企业组,它还将为整个关系设定基调和节奏,它将使双方遵守在发生事故时应满足的标准。事件响应、数据检索、数据所有权和评估权都应事先达成一致。
总而言之,Jaime Arze强调,企业可以而且必须要求其供应商提供高质量的安全方案。毕竟,值得信赖的供应商的地位不是通过关系的长短来获得的,而是来自于安全方面的更大的透明度。选择与合格的供应商合作,找出可能的弱点,并继续定期审查自身和他们的防御措施,建立这种信任最终将帮助企业应对来自供应链攻击的重重风险。