欢迎光临第五届中国汽车网络信息安全峰会2020!

最小化供应链风险的八种方法

发布日期:2019-12-20

供应链攻击并不是什么新鲜事物,但是威胁参与者继续寻找破坏网络的新方法。 2013年的Target违规事件以及最近的NotPetya,Trisis和Wipro入侵事件,都不太温和地提醒人们,供应链攻击具有破坏性,且代价高昂,对企业及其供应商均构成许多风险。




在过去的20年中,我们还看到了将供应链分散到国外的重要行动。全球化带来了许多供应链风险,这些风险不仅限于网络攻击,还显示了增强运营弹性的必要性。


事实是,组织越安全,其供应链对攻击者的吸引力就越大。攻击者想找到进入网络的最简单途径,因此往往是供应商具有可利用的漏洞,可以使他们完全访问原始目标的网络。


如果一家公司没有保护自己的网络免受基本威胁行为者的侵害,没有尽力进行适当的修补,并要求其供应商对保护自己的网络负责,那么它就没有希望防范民族国家或能力更强的威胁行为者。这是方便第三方测试以信任和验证您的供应商的地方。


企业必须了解其固件中的内容,并确保没有伪造的硬件组件。他们需要验证自己无法信任的内容,包括来自第三方的组件。即使您信任供应商,也始终有可能在供应链的更远端做出妥协。为了解决这个问题,请从整体上看待整个供应链,并尝试找出最薄弱的环节,而不是只关注一种风险来进行管理。


您可以按照以下八个步骤来构建供应链安全程序:


1.了解您的供应商,并寻找上游和下游。从一级供应商开始,然后确定二级和其他供应商。全面盘点与您有业务往来的人,以便您确定任何薄弱环节。


2.进行风险评估。确定所有合作伙伴后,请正确评估每个人的网络安全状况,以了解他们可能对组织造成的风险。您必须考虑每个设备或组件的构建位置以及确切的构建对象。是否存在后门或假冒产品?还是仅仅是可能导致违规的软件质量问题?


3.利用第三方测试。雇用第三方公司来测试您的系统以及供应商的系统,以针对您首先需要解决的问题提供可行的结果。


4.扫描并修补所有易受攻击的系统。定期执行此操作。


5.教导员工使用强密码的重要性。还请教他们不要在各个帐户之间回收密码。


6.确保您的员工在所有可能的地方都设置了多因素身份验证。


7.定期进行安全意识培训。教员工如何识别网络钓鱼诈骗,更新软件以及变得更加注重安全性。


8.加强连接到网络的设备的安全性。


建立弹性

考虑所有潜在的中断以及构建和设计您的供应链的方法,以使其在可预见和不可预见的挑战下保持运转。如果要求直接与您打交道的供应商制定供应链安全计划,并且期望他们的供应商与他们保持同样的态度,那么这将创建一个更具弹性的更高完整性的供应链。


作者:John Sheehy, Vice President of Sales and Strategy, IOActive


  • 电话咨询
  • 15021948198
  • 021-22306692
None