在去年一连串软件供应链攻击的影响和推动下,美国参议院通过了一项法案,旨在改善对采购人员的网络安全培训。《供应链安全培训法》要求各机构在整个收购生命周期内评估和降低供应链风险。该法案一旦成为法律,将要求国土安全部,美国国家标准与技术研究院(NIST)和其他联邦机构协调细节并执行该计划。
严格的网络安全规定对于加强供应链风险管理来说至关重要,本文将提供3个最佳实践,以供企业参考。
拓宽供应商的尽调范围
为了降低第三方软件供应链中断风险,企业可以要求解决方案提供商共享有关其软件开发生命周期的信息,包括:
- 源代码出自哪里
- QA 流程是怎样的
- SLA(服务级别协议) 中对漏洞的识别和修复是如何明确的
企业可以使用问卷来收集上述信息,但评估反馈有效期短。因此,通过不断更新供应商风险数据来强化供应商评估非常重要,这些数据可以参考以下来源:
- 黑客论坛、威胁源以及泄漏凭据的 Paste 网站。监控这些信息可以提供早期预警指标表明供应链合作伙伴已经/将成为目标。
- 安全社区、代码库、漏洞数据库和历史数据泄露通知,以定期检查供应商的安全情况。
- 供应商可能会造成品牌名誉损害,因此需要查看此前的负面媒体报道,是否被列入制裁名单等。
明确第四方供应商及潜在供应链风险
企业处于供应链中的位置越上游,可见性就越低。当企业或组织面临恶意软件攻击和安全漏洞时,这可能会给企业造成的影响和损失。了解扩展供应商生态系统,可以掌握数据是在何处处理的。但收集这些信息可能非常耗时,且信息有效期短。
为了克服上述挑战,企业可以尝试使用第三方评估平台构建全面的供应商画像,其中包括供应商的一些关键信息,如位置、第四方合作伙伴和部署的技术(包括来自外部供应商边界扫描的信息)。结果以关系图呈现,可以轻松识别技术集中风险。
自动化事件响应以降低风险
当发生大型软件供应链安全事件时,例如 SolarWinds 和 Kaseya,企业首先想到,“我们是否受到影响?”,以及“我们的第三方是否受到影响?”。而拥有全面的供应商配置文件,将使企业处于应对该问题的绝佳位置。
然而,使用表单来评估和分类潜在数百个供应链合作伙伴的风险,会导致企业在评估供应商的风险敞口和修复计划时无从下手。
以下是采取更智能、更快速的事件响应方法的几个步骤:
- 集中管理所有供应商。 软件供应链风险很普遍,且远不止企业所认为最关键的供应商。
- 发布和跟踪特定事件的评估以及补救建议, 以提高风险处理效率。评估应当包括发生故障时的业务连续性、备份、恢复计划等方面。
- 让第三方供应商能够使用标准化事件报告评估来主动报告事件,该评估可自动对风险进行评分和升级,同时进行适当的分类和报告。
- 使用工作流规则触发自动化操作, 让企业能够根据风险对业务的潜在影响对风险采取行动。
- 集中分析评估结果, 以便与合作伙伴协调补救措施,并向管理层报告进展情况。
![mysql5.7的sql优化[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)