如何最大限度地降低供應鏈攻擊的風險

供應鏈攻擊持續呈上升趨勢，許多企業似乎不確定如何應對這樣的威脅，Datto第三方風險經理Jaime Arze在近期的一次公開分享中，為企業提出了以下幾個步驟，來最大程度地降低企業也卷入供應鏈違規的風險。

對技術體系進行全面的 IT 審查

“你無法保護你看不到的東西，”Jaime Arze表示，為了最大限度地減少未知因素，企業首先需要對 IT 環境進行全面審計，準確了解到正在使用哪些硬件、軟件和SaaS 產品，包括任何未經批準的影子IT資產，哪里存在安全漏洞，以及企業的業務依都賴哪些供應商和合作伙伴，包括是怎么跟他們的產品工具交互協作的，從這些產品工具處理的數據類型、系統接口和各種集成級別都需要了解清楚。

接下來，企業需要評估每個供應商對業務的重要性。如果存在冗余或者是不必要的，則需要盡快處置解決。同時，應該根據供應商提供的服務類型，記錄好每一個接入、替換或取消的供應商，保持供應商清單的及時更新和信息準確，這些關系是識別和最小化任何固有風險的起點。

提出正確的問題

在評估供應商的安全風險時，企業需要優先考慮那些最重要的供應商，即如果終止合作將對企業的業務運營造成更大的損害甚至中斷的合作伙伴。

企業不僅要關注供應商提供的產品功能，在安全層面，需要了解您的供應商的安全能力有多強，目前的安全態勢是怎樣的，他們對易受攻擊的領域有什么理解，他們是如何加強防御的？無論企業規模有多小，都應該準備好一系列明確定義的要求，雖然這些問題可能令人不安，但是具體的、有針對性的提問才可能引導出確切的、好的結果。

了解到供應商自身的安全態勢之后，企業就需要評估他們可能會給自身帶來哪些風險，以及他們正在采取哪些措施來縮小這些差距。企業的供應鏈組合中的每個供應商都應該能夠解釋他們在如何保護自己和客戶免受攻擊，包括他們如何限制對系統的訪問以及他們如何加密數據，等等。最基礎的，他們是否遵循了行業標準，滿足了合規保護義務，他們能否證明他們正在以與您相一致的方式保護客戶數據的機密性、完整性和可用性？供應商應該要能夠展示對其安全性能的獨立審計，或者是相關資質、合規證明等。

設定對業務連續性的期望

在業務連續性和災難恢復方面，設定明確的預期非常重要。一般來說，可用性是企業最關心、最重要的一個問題，建議在合同中寫入SLA，即雙方就服務的安全品質、安全水準、性能安全等方面需要達成明確的的協議，并且供應商應該有一個充分且記錄良好的安全事件響應計劃。如果他們沒有正式的、經過測試的BCDR （容災解決方案）策略可供審查，請準備好共同制定并實施，為下一次安全審查做好準備。

建立網絡安全文化

這是一個老生常態的問題，人仍然是安全中最薄弱的環節。為了減輕這種風險，企業需要建立一種強大的安全文化，該文化建立在廣泛的員工培訓基礎上，并輔以適當的威脅預防和監控工具。員工們必須知道如何發現可疑活動，例如識別網絡釣魚電子郵件，企業應該并且應始終強烈鼓勵大家報告任何不尋常的事情，無論它看起來多么微不足道。

持續管理供應商

完成初始風險評估后，企業不要忘記跟進調查結果。在建立了識別最關鍵供應商的標準后，還需要采取適當的方法來持續評估它們，通常來講，第一層的供應商應被視為業務的延伸，因此應具有與企業自身設置的政策、程序、流程相似或更好的能力。

管理供應商是一個持續的過程，而不是一次性的勾選和判斷，所以要堅持保持透明化的狀態。企業的合作伙伴的安全計劃應該朝著正確的方向發展，他們應該能夠證明他們能夠適應不斷變化的威脅。

此外，隨著供應商關系的增長，盡職調查和安全期望的水平也必須提高。每個合同關系都帶有一定程度的責任感，合同中的安全協議不僅可以通過讓供應商遵守最佳實踐來保護企業組，它還將為整個關系設定基調和節奏，它將使雙方遵守在發生事故時應滿足的標準。事件響應、數據檢索、數據所有權和評估權都應事先達成一致。

總而言之，Jaime Arze強調，企業可以而且必須要求其供應商提供高質量的安全方案。畢竟，值得信賴的供應商的地位不是通過關系的長短來獲得的，而是來自于安全方面的更大的透明度。選擇與合格的供應商合作，找出可能的弱點，并繼續定期審查自身和他們的防御措施，建立這種信任最終將幫助企業應對來自供應鏈攻擊的重重風險。