左右兼顧
將供應鏈安全視為組織內部的事情,這是一個非常局限且危險的假設。Tripwire的產品管理與策略副總裁TimErlin表示“當考慮保護供應鏈安全時,必須同時考慮上游與下游。向我們提供產品的供應商和我們作為供應商提供產品的客戶都應該在供應鏈安全的考慮范圍內”。
因為涉及到供應鏈的上下游,首先就要知道供應鏈鏈接了哪些組織。Erlin表示“理想情況下,應該能夠識別、處理與組織打交道的任何組織都有權訪問的數據”。
關于API安全性的討論有很多,大多數都集中在組織或者供應商的API上。同時也應該注意客戶要求使用的API和服務,保證整個供應鏈的安全性。
合同優先
供應鏈中任何環節發生問題,產生的后果和責任都會在上下游帶來很大的影響。KnowBe4的安全意識倡導官JamesMcQuiggan表示“如果第三方遭受數據泄露或攻擊,雙方之間的合同應該確定數據泄露以及為支持該類事件而進行的程序”。原因很簡單,因為失敗可能會給組織帶來更大的風險和損失。
盡管合同和協議傾向于考慮已知威脅與事件,但也可以對新威脅的響應過程和程序做出安排。一些業務部門必須具有承擔合同中的法規或法律責任的義務。例如,美國國防部發布的網絡安全成熟度模型認證(CMMC)框架,在未來所有國防部合同中強制規定了相應條款。國防部的主承包商和分包商必須滿足所有國防部合同要求的CMMC成熟度水平,否則會被取消競爭資格。
關鍵行業中,快速響應的能力尤為重要。NCC區域總監JeffRoth解釋說“醫療服務提供商,從實體到商業伙伴,都在進行電子化。在快速提供病患所需數據的同時還要保證數據交付服務的安全性,這是一個具有挑戰性的工作”。
了解數據
在供應鏈上下游保護數據很重要,但如果不知道共享哪些數據就無法進行保護。尤其是只有設備彼此交換數據,將人排除在外時。
“物聯網設備通常是關鍵,很少有設備是孤立存在的,而物聯網的互聯網組件也反映了這種依賴性”,信息安全論壇的管理總監SteveDurbin如是說。“智能化需要多個設備協同工作,通常需要數量很多的設備作為輸入”。
現在的自動化流程可能需要IT、OT甚至消費類設備的參與,而不同類型的設備都有不同的安全需求。了解系統之間的數據流是進行安全防護的一部分。
牢記流程
將安全問題限定在供應鏈技術和基礎架構是很自然的,但是要記住操作流程也會對安全產生影響。Vectra的Morales表示“風險通常也與操作流程有關,而不是只和代碼中的缺陷或漏洞有關”。
善用審查
無論對供應鏈有多大的信任度,確保處理和移動數據時采取了必要的保護措施都是至關重要的。KnowBe4的McQuiggan表示“組織需要對所有具有遠程訪問權限或提供電子產品的供應商進行審查和年檢”,“信任但驗證的概念包括有關產品開發生命周期的第三方網絡安全政策的審查,這是了解產品漏洞的良好開始”。
PositiveTechnologies的信息安全分析主管EvgenyGnedin認為“對供應鏈攻擊來說,最危險的是攻擊者可能在很長一段時間內都不會被注意到,而且攻擊本身也很可能會成功”。同時,Gnedin指出多個成功的供應鏈攻擊的示例,從針對華碩的Rowhammer到NetPetya和Magecart等。“通過轉向供應鏈攻擊,使犯罪分子大大擴展了受害者的范圍。”
小也重要
在某些情況下,供應鏈中大型組織的安全雖然處理相對麻煩,但是往往能夠提供資源從政策的指定到具體實施來保障安全。小公司則缺乏專業知識和相關資源。NCC的Roth提出了一些具體的建議:
- 重點關注與每個特定關鍵供應商相關的實際風險和相應的安全管控措施。小型供應商可以掌握風險,而不會產生超出這些小型供應商承受能力的問題
- 構建安全的基礎結構,減少服務提供商的攻擊面
- 針對高風險和中風險的小型供應商進行重點網絡安全培訓
- 定期監控和反饋,進一步幫助小型供應商合規
高層意識
首先將風險機進行歸類:
- 業務風險
- 操作風險
- 市場風險
- 人員風險
- 法規風險
供應鏈給組織帶來的風險既可以是戰略性的也可以是戰術性的。DigitalShadows的Guirakhoo表示“當組織依賴大量第三方,從而大大增加潛在攻擊面,這甚至會更加困難”。所構成的風險可能是戰略關系和伙伴關系的問題,使高級管理層意識到問題的嚴重性并將其納入決策過程以進行響應和補救。
關注云端
“現在許多重要數據都存儲在云上,這為犯罪分子提供了機會。通過攻擊云端可以破壞整個供應鏈的安全并摧毀關鍵信息基礎設施”。
軟件和服務基本上由現有軟件、服務和模塊構建而成,從而依賴和嵌套的產品越來越深。Accurica聯合創始人兼首席執行官SachinAggarwal表示“許多云基礎架構和SaaS應用都由許多組件構成,通常都包含開源產品”,“例如,AmozonWebServices使用Linux、Java、Kubernetes、Xen和KVM,這些組件具備成本優勢,但會帶來安全風險,組織需要關注并減輕這些風險”。
確定和審查軟件供應鏈中每個組件的安全性以及云端的供應鏈安全是一項龐大的工程,但這也是確保組織供應鏈安全必不可少的一部分。
