“没有人是一座孤岛”这一名句既适用于个人,也适用于企业。企业既是其供应链及其所属生态系统的产物,也是其自身运营的产物——即使是规模最大的企业也需要第三方的支持。
在企业部署的技术堆栈方面,没有比这更真实的了。虽然基于服务的企业不需要实体供应链,因为它不销售制成品,但它需要一个密集的第三方网络来为其提供软件和服务。
隐藏但不断增长的攻击面
在安全方面,人们经常谈论攻击面,这也是企业暴露于网络威胁的那些部分。人们经常会在有关数字化转型的一些文章中了解这些,而数字化虽然对运营效率和商业增长必不可少,但也会增加风险。
随着企业将其流程实现数字化,其攻击面不仅是其现在在线的所有运营部分;它发展到涵盖其更广泛的供应商和供应商网络。
这代表着巨大的风险,根据调查,许多人都没有考虑到这一风险。虽然56%的企业预计2022年软件供应链受到攻击的报告事件会增加,但只有34%的企业已正式评估其面临的这种风险。另一项调查发现,58%的企业无法确定供应商的保障措施和安全政策是否足以防止数据泄露。
更多的软件意味着更多的风险
不难看出为什么会这样,因为管理自己的网络安全比较困难。从保护新的移动用户(及其端点)到保护传输中和静止的数据,以及确保员工在混合和远程工作环境中保持网络安全,在数字时代保护企业是一项重大挑战。而将其扩展到供应商,只会增加另一层复杂性。
企业必须能够相信其供应商拥有相同的企业安全协议和标准。在网络安全方面,人们希望科技企业能成为领导者之一,但对任何企业来说,自以为是并认为是安全的都是危险的。
那些希望保护自己不受其软件供应链日益增加的风险影响的企业会因此受到什么影响?如今,这意味着他们必须通过主动、持续的监控和快速响应,大幅加强第三方、供应商和供应链风险。
防范软件供应链安全漏洞的三个步骤
第一步是,企业需要知道面临的问题。这意味着了解信息如何在他们的企业和供应商之间流动。了解这些可以做两件事:它可以绘制防御图部署资源以减轻潜在的薄弱区域;它允许企业了解什么是合法数据,并识别潜在威胁。
这一点至关重要,因为快速共享信息是数字企业的核心。如果信息通过繁重的安全检查被拦截,企业可能会保持安全,但也可能失去机会。了解应该输入哪些数据,以及数据可能被劫持或被引导到何处,可以提高运营绩效,同时提供更多的保护。
这种防御通过第二步得到改进:持续监控。这意味着永远不要假设某件事是合法的,直到它证明它是合法的。换句话说,采取零信任的方法并不断检查每一次互动和参与。人们可能了解一些购房者收到律师要求将资金存入不同账户的电子邮件时却被黑客劫持的故事。通常,这些电子邮件是合法的,只是因为律师的账户可能被泄露。因此,毫无戒心的购房者会按照指示行事,只有当律师打电话询问资金在哪里时,他们才意识到自己所犯的错误。
同样的事情也可能发生在业务关系中,除了资金被转移之外,它可能是被下载的受感染应用程序,或者是受感染的电子邮件附件,允许不良行为者访问企业网络和数据。通过持续监控,反复检查系统和漏洞,并立即识别任何违规行为。
这就引出了第三步:快速反应。一旦发生违规行为,无论是在企业内部还是作为第三方的一部分,事件响应计划都必须启动。在这样的事件中,任何人能做的最糟糕的事情就是什么也不做;甚至关闭一切设备并通知客户,这总比不做出反应要好。
但这确实需要一个计划。因为拥有较大的攻击面确实意味着更多种类的潜在违规行为。当这些事件涉及第三方妥协时,应该根据供应商的意见制定响应计划:他们将如何反应;沟通会是什么样子;作为企业,将如何应对?每个企业都有不同的利益相关者和流程需要适应,但在制定减轻网络攻击影响的计划时,不应假设任何事情。
总结
归根结底,这是一个何时而不是是否会发生违规行为的情况,这对于供应链上下游的每个企业来说都是一样的,这要归功于相互关联的世界。但企业不应该害怕。如果可以实施明确的主动响应计划,持续监控与企业交互的每家供应商,清楚地了解薄弱点所在的位置,并了解最糟糕的情况是什么。这将使任何企业和第三方能够更好地快速做出反应,并减轻未来网络威胁的影响。
