网络安全之供应链安全(一)
2021-10-26
来源:祺印说信安
介绍
今天我们一起探讨提高组织对供应链安全的认识,并通过继续采用良好实践帮助提高这方面的基本能力水平。
大多数组织依靠供应商来交付产品、系统和服务。自己可能有许多供应商,这就是我们开展业务的方式。
供应链可能庞大而复杂,涉及许多供应商做许多不同的事情。有效地保护供应链可能很困难,因为漏洞可能是固有的,或者在供应链的任何一点被引入和利用。脆弱的供应链可能会造成系统业务损害和中断。
尽管存在风险,许多公司却忽视了他们的供应链安全。根据2016年安全漏洞调查,很少有英国组织为其供应商设定最低安全标准,那么反观我们国内呢?大家各自都可以做一番考察或考量。
一系列针对组织的高调、极具破坏性的攻击表明,攻击者有利用供应链安全漏洞的意图和能力,趋势是真实的并且正在增长。因此,是时候采取行动面对供应链安全了,其必要性是显而易见的。
12条原则
这些原则旨在帮助组织获得并保持对供应链安全的必要控制水平
一、了解风险
前三个原则涉及信息收集阶段。
除非对供应链有一个清晰的了解,否则很难对其进行任何有意义的控制,了解风险非常有必要,组织需要投入适当的努力和资源来实现这一目标。
1. 了解需要保护的内容以及原因
你应该知道:
出租或将出租的合同的敏感性。
作为合同的一部分,供应商持有、将持有、有权访问或处理的组织信息或资产的价值。
考虑需要供应商为组织的资产和信息提供何种程度的保护,以及他们将作为合同的一部分提供的产品或服务。
2. 了解供应商是谁并了解他们的安全状况
应该知道:
谁是组织的供应商。需要考虑在供应链中走多远才能获得对供应商的理解和信心。
可能不得不依赖直接供应商提供有关分包商的信息,并且可能需要一些时间来确定供应链的全部范围。
供应商当前安全安排的成熟度和有效性。 例如,可以使用 CPNI 人员安全成熟度模型来评估供应商人员安全安排的成熟度。这个评估我个人暂时不知道在国内是否有对应的手段,不过为我们提供了一种思考和思路。
要求直接供应商提供哪些安全保护,以及他们又要求任何分包商做什么:
确定供应商及其分包商是否提供了要求的安全要求。
了解供应商对系统、场所和信息的访问权限(物理和逻辑)以及将如何控制它们。
了解直接供应商如何控制他们雇用的任何分包商对信息和/或资产(包括系统和场所)的访问和使用。
应该在这方面的工作重点放在供应商业务或系统中用于处理合同信息或交付合同产品或服务的部分。
3. 了解供应链带来的安全风险
评估这些安排对信息或资产、要交付的产品或服务以及更广泛的供应链构成的风险。
风险来源
进出供应链的风险可以有多种形式。例如,供应商可能无法充分保护他们的系统,可能有恶意的内部人员,或者供应商的员工可能无法正确处理或管理客户组织信息。
可能是没有很好地传达客户组织安全需求,因此供应商做了错误的事情,或者供应商可能故意通过恶意行为来破坏客户系统(这可能受到国家安全应用程序的影响)。
使用最好的信息来了解这些安全风险。例如:
常见的网络攻击 - 减少影响
内幕数据收集报告
内幕风险评估
CPNI 员工风险整体管理 (HomER)。
此处还提供了对供应链的四种已知网络攻击(第三方软件提供商、网站建设者、第三方数据存储和水坑攻击)的描述 。
正确缓解
了解与供应链相关的风险是确保安全措施和缓解措施相称、有效和响应迅速的关键。
使用这种理解来决定希望供应链中的供应商为任何合同信息以及合同产品或服务提供的适当保护级别。
行动计划
根据以下考虑,将不同的工作、合同或供应商分为不同的风险状况可能会很有用:任何损失、损坏或中断对用户运营的影响、可能威胁的能力、他们提供的服务的性质正在提供的信息、他们正在处理的信息的类型和敏感性等。每个配置文件都需要稍微不同的处理,以反映客户组织对相关风险的看法。这可能会使事情更容易管理和控制。
客户组织应该记录这些决定并与供应商分享。例如,可能会决定,提供文具或清洁服务等基本商品的合同与提供关键服务或产品的合同需要非常不同的管理方法。