网站首页  词典首页

请输入您要查询的论文:

 

标题 确保供应链安全的8个要求
范文

    刘询

    复杂的供应链有复杂的安全性要求,想要确保供应链的安全就要尽可能做到以下这些。

    左右兼顾

    将供应链安全视为组织内部的事情,这是一个非常局限且危险的假设。Tripwire的产品管理与策略副总裁Tim Erlin表示,“当考虑保护供应链安全时,必须同时考虑上下游。向我们提供产品的供应商和我们作为供应商提供产品的客户都应该在供应链安全的考虑范围内”。

    因为涉及到供应链的上下游,首先要知道供应链链接了哪些组织。Erlin表示,“理想情况下,应该能够识别、处理有任何联系的数据”。

    关于API安全性的讨论有很多,大多数集中在组织或供应商的API上。同时也应该注意客户要求使用的API和服务,保证整个供应链的安全性。

    合同优先

    供应链中任何环节发生问题,产生的后果和责任都会在上下游带来很大影响。KnowBe4的安全意识倡导官James McQuiggan表示“如果第三方遭受数据泄露或攻击,双方之间的合同应该确定数据泄露以及为支持该类事件而进行的程序”。原因很简单,因为失败可能会给组织带来更大的风险和损失。

    尽管合同和协议倾向于考虑已知威胁与事件,但也可以对新威胁的响应过程和程序做出安排。一些业务部门必须具有承担合同中法规或法律责任的义务。例如,美国国防部发布的网络安全成熟度模型认证(CMMC)框架,在未来所有国防部合同中强制规定了相应条款。国防部的主承包商和分包商必须满足所有国防部合同要求的CMMC,否则会被取消竞争资格。

    关键行业中,快速响应的能力尤为重要。NCC区域总监Jeff Roth解释说:“医疗服务提供商,从实体到商业伙伴,都在进行电子化。在快速提供病患所需数据的同时还要保证数据交付服务的安全性,这是一个具有挑战性的工作。”

    了解数据

    在供应链上下游保护数据很重要,但如果不知道共享哪些数据就无法进行保护,尤其是只有设备彼此交换数据,将人排除在外时。

    “物联网设备通常很少是孤立存在的,而物联网的互联网组件也反映了这种依赖性”,信息安全论坛的管理总监Steve Durbin如是说:“智能化需要多个设备协同工作,通常需要数量很多的设备作。”

    现在的自动化流程可能需要IT、OT甚至消费类设备的参与,而不同类型的设备有不同的安全需求。了解系统之间的数据流是进行安全防护的一部分。

    牢记流程

    将安全问题限定在供应链技术和基础架构是很自然的,但是操作流程也会对安全产生影响。Vectra的Morales表示“风险通常也与操作流程有关,而不是只和代码中的缺陷或漏洞有关”。

    善用审查

    无论对供应链有多信任,确保处理和移动数据时采取了必要的保护措施都至关重要。KnowBe4的Mc Quiggan表示,“组织需要对所有具有远程访问权限或提供电子产品的供应商进行审查和年检,包括有关产品开发的第三方网络安全政策的审查,这是了解产品漏洞的良好开始”。

    Positive Technologies的信息安全分析主管Evgeny Gnedin认为“对供应链攻击来说,最危险的是攻击者可能在很长一段时间内都不会被注意到,而且攻击本身也很可能会成功”。同时,Gnedin指出多个成功的供应链攻击的示例,从针对华硕的Rowhammer到NetPetya和Magecart等,通過转向供应链攻击,使犯罪分子大大扩展了受害者的范围。

    小也重要

    在某些情况下,供应链中大型组织的安全处理相对麻烦,但是往往能够通过从政策的指定到具体实施来保障安全。小公司则缺乏专业知识和相关资源。NCC的Roth提出了一些具体的建议:

    重点关注与每个特定关键供应商相关的实际风险和相应的安全管控措施。小型供应商可以掌握风险,而不会产生超出承受能力的问题;

    构建安全的基础结构,减少服务提供商的攻击面;

    针对高风险和中风险的小型供应商进行重点网络安全培训;

    定期监控和反馈,进一步帮助小型供应商合规。

    高层意识

    首先将风险进行归类,包括:业务风险、操作风险、市场风险、人员风险和法规风险。

    供应链给组织带来的风险既可以是战略性的,也可以是战术性的。Digital Shadows的Guirakhoo表示“组织依赖大量的第三方,从而大大增加了潜在攻击面,这甚至会更加困难”。所构成的风险可能是战略关系和伙伴关系的问题,高级管理层需要意识到问题的严重性并将其纳入决策过程以进行响应和补救。

    关注云端

    现在许多重要数据都存储在云上,为犯罪分子提供了机会,通过攻击云端可以破坏整个供应链的安全并摧毁关键信息基础设施。

    软件和服务基本上由现有软件、服务和模块构建而成,从而依赖和嵌套的产品越来越深。Accurica联合创始人兼首席执行官Sachin Aggarwal表示“许多云基础架构和SaaS应用都是由许多组件构成,通常都包含开源产品,如Amozon Web Services使用Linux,Java,Kubernetes,Xen,KVM,这些组件具备成本优势,但会带来安全风险,组织需要关注并减轻这些风险”。

    确定和审查软件供应链中每个组件的安全性以及云端的供应链安全是一项庞大的工程,但这也是确保组织供应链安全必不可少的一部分。
随便看

 

科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。

 

Copyright © 2004-2023 puapp.net All Rights Reserved
更新时间:2025/4/17 15:55:37