他表示,美國(guó)的網(wǎng)絡(luò)安全威脅持續(xù)增加,因?yàn)樾鹿谝咔榇偈蛊髽I(yè)和個(gè)人將重要數(shù)據(jù)轉(zhuǎn)移到網(wǎng)上。事實(shí)上,根據(jù)美國(guó)聯(lián)邦調(diào)查局發(fā)布的一份調(diào)查報(bào)告,自從2020年新冠疫情爆發(fā)以來(lái),美國(guó)的網(wǎng)絡(luò)犯罪數(shù)量飆升了300%。
因此,許多企業(yè)都采取了加強(qiáng)網(wǎng)絡(luò)安全防御的應(yīng)對(duì)措施。然而,許多企業(yè)往往忽視了一個(gè)關(guān)鍵部分:供應(yīng)鏈風(fēng)險(xiǎn)。具體來(lái)說(shuō),黑客可以通過(guò)供應(yīng)鏈中供應(yīng)商的薄弱安全鏈接訪問(wèn)企業(yè)的數(shù)據(jù)。因此,即使企業(yè)采用了各種適當(dāng)?shù)陌踩胧?,仍然可能處于風(fēng)險(xiǎn)中。
需要風(fēng)險(xiǎn)保護(hù)的三大供應(yīng)鏈風(fēng)險(xiǎn)
調(diào)研機(jī)構(gòu)Gartner公司在調(diào)查中發(fā)現(xiàn),89%的企業(yè)在過(guò)去五年中經(jīng)歷過(guò)供應(yīng)鏈風(fēng)險(xiǎn)事件??紤]到這些情況,為了更好地保護(hù)企業(yè)的數(shù)據(jù)和業(yè)務(wù)安全,需要了解以下關(guān)鍵的供應(yīng)鏈風(fēng)險(xiǎn),其中包括:
(1)數(shù)據(jù)安全
即使企業(yè)采用嚴(yán)格的安全協(xié)議,黑客也知道他們可以利用企業(yè)的供應(yīng)商訪問(wèn)他們的數(shù)據(jù)。通過(guò)一些簡(jiǎn)單的網(wǎng)上調(diào)查,網(wǎng)絡(luò)罪犯可以確定企業(yè)與哪些供應(yīng)商有關(guān)聯(lián),并利用這些供應(yīng)商作為進(jìn)入企業(yè)的IT系統(tǒng)入口。通過(guò)這個(gè)過(guò)程,他們可以訪問(wèn)企業(yè)的數(shù)據(jù)或企業(yè)與供應(yīng)商共享的任何敏感數(shù)據(jù)。
(2)技術(shù)集成
許多企業(yè)現(xiàn)在正在迅速加快其數(shù)字創(chuàng)新,通常是通過(guò)整合第三方提供的技術(shù)。每次企業(yè)在添加更多的硬件或軟件時(shí),也增加了更多黑客和網(wǎng)絡(luò)犯罪分子可以利用的潛在入口。
(3)供應(yīng)商欺詐
正如向企業(yè)添加新的軟件和硬件會(huì)帶來(lái)風(fēng)險(xiǎn)一樣,添加新的第三方供應(yīng)商也會(huì)帶來(lái)風(fēng)險(xiǎn)。網(wǎng)絡(luò)罪犯使用最常見的一種作案手法與支付處理有關(guān)。每當(dāng)企業(yè)采用一個(gè)新的第三方供應(yīng)商的服務(wù)時(shí),黑客就可能使用社交工程來(lái)說(shuō)服企業(yè)改變他們的支付信息。那么結(jié)果如何?企業(yè)可能認(rèn)為是在向供應(yīng)商付款,但實(shí)際上在向黑客付款。這不僅會(huì)損害企業(yè)的安全性,還會(huì)損害業(yè)務(wù)關(guān)系。
新的供應(yīng)商的網(wǎng)絡(luò)安全問(wèn)題
每當(dāng)企業(yè)考慮將與新的第三方供應(yīng)商合作時(shí),可能會(huì)經(jīng)歷一個(gè)非常徹底的審查過(guò)程。但關(guān)于網(wǎng)絡(luò)安全緩解策略的問(wèn)題在企業(yè)列出的清單上嗎?應(yīng)該是。這些問(wèn)題可以幫助企業(yè)評(píng)估和評(píng)級(jí)他們對(duì)任何類型的惡意攻擊的準(zhǔn)備情況:
(1)他們運(yùn)行的是什么類型的EDR或MDR?
端點(diǎn)檢測(cè)和響應(yīng)(EDR)是一種分層的端點(diǎn)保護(hù)方法。它將實(shí)時(shí)持續(xù)監(jiān)控和端點(diǎn)數(shù)據(jù)分析與基于規(guī)則的自動(dòng)響應(yīng)結(jié)合起來(lái)。托管檢測(cè)和響應(yīng)(MDR)結(jié)合了技術(shù)和知識(shí)、人力資源,自動(dòng)執(zhí)行威脅搜索任務(wù)。在理想情況下,供應(yīng)商應(yīng)該在他們的網(wǎng)絡(luò)安全工具包中包括EDR和MDR技術(shù)。
(2)他們上一次的風(fēng)險(xiǎn)和脆弱性評(píng)估是什么時(shí)候?
在理想情況下,企業(yè)應(yīng)該每月或至少每季度對(duì)其內(nèi)部和外部系統(tǒng)進(jìn)行掃描。這些工作應(yīng)包括風(fēng)險(xiǎn)和脆弱性評(píng)估以及滲透測(cè)試,以確保覆蓋所有可能的入口點(diǎn)。
(3)他們現(xiàn)在的網(wǎng)絡(luò)安全人員有多少人?
響應(yīng)能力和準(zhǔn)備程度部分取決于員工人數(shù)、管理威脅評(píng)估以及了解所在部門的網(wǎng)絡(luò)安全現(xiàn)狀。
(4)他們?nèi)绾卫枚嘁蛩厣矸蒡?yàn)證?
多因素身份驗(yàn)證(MFA)是許多企業(yè)中必不可少的安全工具,它的實(shí)現(xiàn)方式將令人難以置信地說(shuō)明供應(yīng)商準(zhǔn)備如何響應(yīng)網(wǎng)絡(luò)攻擊。
他們有網(wǎng)絡(luò)安全保險(xiǎn)嗎?這個(gè)問(wèn)題的答案將使人們更好地理解他們獲得保險(xiǎn)必須滿足的先決條件。僅此一項(xiàng)就可以告訴很多關(guān)于他們所在公司面臨威脅的信息。
現(xiàn)有的供應(yīng)商在網(wǎng)絡(luò)安全方面的表現(xiàn)如何?
人們可能想知道當(dāng)前的第三方供應(yīng)商在網(wǎng)絡(luò)安全方面的表現(xiàn)??梢圆扇讉€(gè)簡(jiǎn)單的步驟來(lái)確保他們保持高質(zhì)量的安全實(shí)踐:
·請(qǐng)求有關(guān)其最新風(fēng)險(xiǎn)評(píng)估、脆弱性評(píng)估和滲透測(cè)試的信息。是什么時(shí)候開始的?結(jié)果如何?
·詢問(wèn)他們最近一次對(duì)當(dāng)前網(wǎng)絡(luò)安全實(shí)踐進(jìn)行第三方審計(jì)的情況。
·當(dāng)企業(yè)與供應(yīng)商共享數(shù)據(jù)時(shí),如果還沒(méi)有這樣做,就需要利用數(shù)據(jù)加密。這將增加從企業(yè)發(fā)送到他們的數(shù)據(jù)的安全性,這是該過(guò)程中的一個(gè)重要步驟。
當(dāng)然,沒(méi)有一種工具可以解決利用供應(yīng)商或確保企業(yè)免受黑客和網(wǎng)絡(luò)犯罪的所有問(wèn)題。也就是說(shuō),這些步驟可以降低黑客攻擊或漏洞風(fēng)險(xiǎn)。記住要提出問(wèn)題,要求每年進(jìn)行網(wǎng)絡(luò)安全審計(jì)、滲透測(cè)試和漏洞評(píng)估,不要害怕持續(xù)仔細(xì)檢查每個(gè)現(xiàn)有供應(yīng)商,以確保企業(yè)的業(yè)務(wù)和供應(yīng)鏈的完整性。
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
國(guó)內(nèi)主流的to B IT門戶,同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營(yíng)18個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)