自SolarWinds供应链攻击事件以来,人们越来越关注各种规模的组织如何确保其供应商的安全。事实证明,无论规模大小,各类组织都沦为了供应链攻击的受害者。即便是坐拥政府资源和资金的美国财政部和国土安全部同样难逃魔爪——它们也在SolarWinds攻击事件中受到了影响。
遗憾的现实是,供应链攻击并不会消失。2021年第一季度,137家组织报告称在27家不同的第三方供应商处遭受了供应链攻击,而供应链攻击的数量比上一季度增长了42%。
这就引出了一个问题:当供应链攻击的威胁越来越大时,企业应该如何降低风险?
评估供应商风险的10个优秀实践
虽然不能保证企业可以在供应链攻击发生之前检测到它,但企业可以考虑下述10项最佳实践,来帮助降低风险并验证其供应链的安全性。
(1) 评估如果供应商的IT基础设施受到损害,每个供应商可能对您的业务产生的影响。
虽然进行全面风险评估是首选,但规模较小的组织可能没有资源和能力进行评估。不过,他们至少应该分析最坏的情况并了解以下问题:
- 针对该供应商系统的勒索软件攻击将如何影响我的业务?
- 如果供应商的源代码被木马病毒破坏,我的业务会受到什么影响?
- 如果供应商的数据库遭到破坏并且数据被盗,这将如何影响我的业务?
(2) 评估每个供应商的内部IT资源和能力。
他们是否有由安全经理或CISO领导的专门网络安全团队?确定供应商的安全领导很重要,因为他们可以回答您的问题。如果团队不存在此类职务或人员不足,没有真正的领导,您可能需要慎重考虑与该供应商的合作问题。
(3) 与供应商的安全经理或CISO会面,了解他们如何保护其系统和数据。
这一过程可以通过简短的会议、电话,甚至是电子邮件对话完成,具体取决于步骤1中确定的风险。
(4) 索取证据来验证供应商的主张。
渗透报告是一种有用的方法。确保测试范围是适当的,并在可能的情况下,要求提供两次连续测试的报告,以验证供应商是否根据其发现采取行动。
(5) 如果您的供应商是软件供应商,请要求进行独立的源代码审查。
在某些情况下,供应商可能会要求签订保密协议(NDA)才会共享完整报告或可能选择不共享。发生这种情况时,请索取一份执行摘要。
(6) 如果您的供应商是云供应商,可以扫描供应商的网络。
执行Shodan搜索,或要求供应商提供他们自己的扫描报告。如果您打算自己扫描,请从供应商处获得许可,并要求他们将客户地址与他们自己的地址分开,这样您就不会扫描到不相关的内容。
(7) 如果供应商是软件或云供应商,查明供应商是否正在运行漏洞赏金计划。
这些项目可以帮助组织在攻击者有机会利用漏洞之前找到并修复漏洞。
(8) 询问您的供应商他们如何确定风险的优先级。
例如,通用漏洞评分系统(CVSS)是一种免费且开放的行业标准,用于评估计算机系统安全漏洞的严重性并分配严重性评分,以便供应商可以优先考虑风险响应。
(9) 索取供应商的漏洞修复报告。
他们拥有报告这一事实表明了他们对安全和管理漏洞的承诺。如果可能,请尝试获取由独立实体生成的报告。
(10) 步骤1到9应该每年重复一次,具体取决于供应商面临的威胁及其对企业的影响。
对于影响较小的供应商,可以稍微放宽频率;对于具有高风险且风险会严重影响企业业务的供应商,企业可以制定永久性评估流程。但是,大型SaaS和IaaS提供商可能不愿意参与正在进行的评估。
总结
通过遵循上述推荐的最佳实践,企业可以识别与特定供应商相关的风险,了解供应商如何管理这些风险,并收集有关供应商如何减轻这些风险的证据。基于此证据和风险偏好,企业可以做出是否与该供应商合作的明智决定。最后,当您执行这些评估时,请以一致性为目标并寻找随时间变化的风险。
请记住,我们无法确保可以阻止供应链攻击,但通过下一代反恶意软件防护来保护您自己的环境,与您的用户进行持续的网络安全培训,并遵循这些最佳实践,可以降低组织面临的风险。
