在去年一連串軟體供應鍊攻擊的影響和推動下,美國參議院通過了一項法案,旨在改善對采購人員的網絡安全教育訓練。《供應鍊安全教育訓練法》要求各機構在整個收購生命周期内評估和降低供應鍊風險。該法案一旦成為法律,将要求國土安全部,美國國家标準與技術研究院(NIST)和其他聯邦機構協調細節并執行該計劃。
嚴格的網絡安全規定對于加強供應鍊風險管理來說至關重要,本文将提供3個最佳實踐,以供企業參考。
拓寬供應商的盡調範圍
為了降低第三方軟體供應鍊中斷風險,企業可以要求解決方案提供商共享有關其軟體開發生命周期的資訊,包括:
- 源代碼出自哪裡
- QA 流程是怎樣的
- SLA(服務級别協定) 中對漏洞的識别和修複是如何明确的
企業可以使用問卷來收集上述資訊,但評估回報有效期短。是以,通過不斷更新供應商風險資料來強化供應商評估非常重要,這些資料可以參考以下來源:
- 黑客論壇、威脅源以及洩漏憑據的 Paste 網站。監控這些資訊可以提供早期預警名額表明供應鍊合作夥伴已經/将成為目标。
- 安全社群、代碼庫、漏洞資料庫和曆史資料洩露通知,以定期檢查供應商的安全情況。
- 供應商可能會造成品牌名譽損害,是以需要檢視此前的負面媒體報道,是否被列入制裁名單等。
明确第四方供應商及潛在供應鍊風險
企業處于供應鍊中的位置越上遊,可見性就越低。當企業或組織面臨惡意軟體攻擊和安全漏洞時,這可能會給企業造成的影響和損失。了解擴充供應商生态系統,可以掌握資料是在何處處理的。但收集這些資訊可能非常耗時,且資訊有效期短。
為了克服上述挑戰,企業可以嘗試使用第三方評估平台建構全面的供應商畫像,其中包括供應商的一些關鍵資訊,如位置、第四方合作夥伴和部署的技術(包括來自外部供應商邊界掃描的資訊)。結果以關系圖呈現,可以輕松識别技術集中風險。
自動化事件響應以降低風險
當發生大型軟體供應鍊安全事件時,例如 SolarWinds 和 Kaseya,企業首先想到,“我們是否受到影響?”,以及“我們的第三方是否受到影響?”。而擁有全面的供應商配置檔案,将使企業處于應對該問題的絕佳位置。
然而,使用表單來評估和分類潛在數百個供應鍊合作夥伴的風險,會導緻企業在評估供應商的風險敞口和修複計劃時無從下手。
以下是采取更智能、更快速的事件響應方法的幾個步驟:
- 集中管理所有供應商。 軟體供應鍊風險很普遍,且遠不止企業所認為最關鍵的供應商。
- 釋出和跟蹤特定事件的評估以及補救建議, 以提高風險處理效率。評估應當包括發生故障時的業務連續性、備份、恢複計劃等方面。
- 讓第三方供應商能夠使用标準化事件報告評估來主動報告事件,該評估可自動對風險進行評分和更新,同時進行适當的分類和報告。
- 使用工作流規則觸發自動化操作, 讓企業能夠根據風險對業務的潛在影響對風險采取行動。
- 集中分析評估結果, 以便與合作夥伴協調補救措施,并向管理層報告進展情況。
![mysql5.7的sql優化[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)