SolarWinds 供應鏈攻擊凸顯了供應鏈對網絡攻擊的脆弱性。供應鏈風險緩解已成為風險管理戰略和信息安全計劃的重要組成部分。為了支持這項工作的成功,我們列出了 2022 年您需要注意的 4 大供應鏈安全風險。這些安全風險應在事件響應計劃中得到解決,以防止安全漏洞助長第三方數據泄露和供應鏈攻擊。
2022 年四大供應鏈安全威脅
安全威脅包括對敏感數據和數據保護的完整性產生負面影響的任何暴露和網絡威脅。2022年最流行的引發供應鏈安全擔憂的安全管控隱患如下。
第三方供應商風險
第三方風險通常會給您的組織帶來重大的數據安全風險。這通常是由于安全策略薄弱而導致的安全實踐不佳。
影響供應鏈網絡安全的不幸現實是,您的第三方供應商可能不像您那樣重視網絡安全。
數字風險
數字風險是數字化轉型不可避免的副產品——你添加到生態系統中的數字解決方案越多,網絡犯罪分子擁有的潛在網絡網關就越多。這些暴露可能是由軟件漏洞引起的,例如零日漏洞利用或被忽視的配置錯誤。
如果不加以解決,數字風險可能會發展為以下供應鏈威脅:
- 勒索軟件攻擊
- 安全漏洞
- 惡意軟件感染
- 流程中斷
- 知識產權盜竊
- 不遵守監管安全標準(尤其是對醫療保健行業不利)。
供應商欺詐
供應商欺詐或供應商欺詐是指自稱是已知零售商的網絡犯罪分子要求更改其支付流程。這些事件很難識別,因為欺詐者通常采用先進的社會工程技術,包括人工智能生成的語音郵件和 Deepfake 視頻記錄。
影響全球供應鏈安全的欺詐事件不僅限于供應商類別。越來越多的數據泄露事件是由第三方供應商成為各種社會工程和欺詐策略的受害者造成的。
自大流行期間突然流行以來,欺詐行為仍在上升。根據聯邦貿易委員會的數據,2021 年美國人因欺詐損失超過 58 億美元,自 2020 年以來增加了 24 億美元。
2021 年排名前 5 位的欺詐類別是獎品、抽獎、彩票、互聯網服務以及企業和工作機會。
數據保護
整個供應鏈的數據完整性是安全問題的一個重要領域。安全措施應確保所有數據狀態都是安全的,包括靜止和動態。數據加密實踐在第三方集成之間尤為重要,因為黑客知道目標的第三方供應商可能可以訪問他們的敏感數據。
2022 年供應鏈風險管理 5 大最佳實踐
通過實施以下最佳實踐,可以解決供應鏈中常見的網絡安全風險。
1. 第三方風險評估
定期的第三方風險評估計劃將在網絡犯罪分子利用它們之前發現供應鏈安全風險。理想情況下,這些評估應該是完全可定制的,以適應每個供應商的獨特風險狀況。除了可定制的風險評估外,還提供與流行的網絡安全框架的評估映射,以確保供應商不斷改善其安全狀況。
2.數據加密
為了在第三方泄露的情況下降低敏感數據的價值,應對所有形式的數據實施加密做法,尤其是在第三方集成的接口處。理想情況下應實施高級加密標準 (AES)。它被認為是最難破解的加密類型之一,這就是政府和軍方普遍使用它的原因。
3. 攻擊面監控
攻擊面監控解決方案將識別第三方安全風險,增加您遭受供應鏈攻擊的機會。攻擊面監控解決方案可以發現跨第三方甚至第四方網絡的云解決方案的安全漏洞。
4. 事件響應計劃
如果發生供應鏈攻擊,您的反應應該有計劃和協調,而不是零星和缺乏策略。精心設計的事件響應計劃應該可以幫助您的安全團隊為每個供應鏈攻擊場景做好準備,同時將對業務連續性的影響降至最低。
5. 滲透測試
供應鏈攻擊絕不應該是第一次執行事件響應計劃。應對策略應通過滲透測試進行常規評估。滲透測試還可以發現安全系統忽略的高級供應鏈安全威脅。
