警惕供应链中的网络安全威胁

VSole2022-10-19 12:35:50

即使在供应链中企业使用先进的技术,全球供应链也不断面临各种风险。企业目前面临的主要威胁之一来自网络攻击者。那么,制造商如何实施措施来降低供应链风险呢? 研发人工智能检测虚假信息技术和产品的Logically公司首席运营官Joshua Skeens为此分享了自己的见解。

他表示,美国的网络安全威胁持续增加,因为新冠疫情促使企业和个人将重要数据转移到网上。事实上,根据美国联邦调查局发布的一份调查报告,自从2020年新冠疫情爆发以来,美国的网络犯罪数量飙升了300%。

因此,许多企业都采取了加强网络安全防御的应对措施。然而,许多企业往往忽视了一个关键部分:供应链风险。具体来说,黑客可以通过供应链中供应商的薄弱安全链接访问企业的数据。因此,即使企业采用了各种适当的安全措施,仍然可能处于风险中。

需要风险保护的三大供应链风险

调研机构Gartner公司在调查中发现,89%的企业在过去五年中经历过供应链风险事件。考虑到这些情况,为了更好地保护企业的数据和业务安全,需要了解以下关键的供应链风险,其中包括:

(1)数据安全

即使企业采用严格的安全协议,黑客也知道他们可以利用企业的供应商访问他们的数据。通过一些简单的网上调查,网络罪犯可以确定企业与哪些供应商有关联,并利用这些供应商作为进入企业的IT系统入口。通过这个过程,他们可以访问企业的数据或企业与供应商共享的任何敏感数据。

(2)技术集成

许多企业现在正在迅速加快其数字创新,通常是通过整合第三方提供的技术。每次企业在添加更多的硬件或软件时,也增加了更多黑客和网络犯罪分子可以利用的潜在入口。

(3)供应商欺诈

正如向企业添加新的软件和硬件会带来风险一样,添加新的第三方供应商也会带来风险。网络罪犯使用最常见的一种作案手法与支付处理有关。每当企业采用一个新的第三方供应商的服务时,黑客就可能使用社交工程来说服企业改变他们的支付信息。那么结果如何?企业可能认为是在向供应商付款,但实际上在向黑客付款。这不仅会损害企业的安全性,还会损害业务关系。

新的供应商的网络安全问题

每当企业考虑将与新的第三方供应商合作时,可能会经历一个非常彻底的审查过程。但关于网络安全缓解策略的问题在企业列出的清单上吗?应该是。这些问题可以帮助企业评估和评级他们对任何类型的恶意攻击的准备情况:

(1)他们运行的是什么类型的EDR或MDR?

端点检测和响应(EDR)是一种分层的端点保护方法。它将实时持续监控和端点数据分析与基于规则的自动响应结合起来。托管检测和响应(MDR)结合了技术和知识、人力资源,自动执行威胁搜索任务。在理想情况下,供应商应该在他们的网络安全工具包中包括EDR和MDR技术。

(2)他们上一次的风险和脆弱性评估是什么时候?

在理想情况下,企业应该每月或至少每季度对其内部和外部系统进行扫描。这些工作应包括风险和脆弱性评估以及渗透测试,以确保覆盖所有可能的入口点。

(3)他们现在的网络安全人员有多少人?

响应能力和准备程度部分取决于员工人数、管理威胁评估以及了解所在部门的网络安全现状。

(4)他们如何利用多因素身份验证?

多因素身份验证(MFA)是许多企业中必不可少的安全工具,它的实现方式将令人难以置信地说明供应商准备如何响应网络攻击。

他们有网络安全保险吗?这个问题的答案将使人们更好地理解他们获得保险必须满足的先决条件。仅此一项就可以告诉很多关于他们所在公司面临威胁的信息。

现有的供应商在网络安全方面的表现如何?

人们可能想知道当前的第三方供应商在网络安全方面的表现。可以采取几个简单的步骤来确保他们保持高质量的安全实践:

·请求有关其最新风险评估、脆弱性评估和渗透测试的信息。是什么时候开始的?结果如何?

·询问他们最近一次对当前网络安全实践进行第三方审计的情况。

·当企业与供应商共享数据时,如果还没有这样做,就需要利用数据加密。这将增加从企业发送到他们的数据的安全性,这是该过程中的一个重要步骤。

当然,没有一种工具可以解决利用供应商或确保企业免受黑客和网络犯罪的所有问题。也就是说,这些步骤可以降低黑客攻击或漏洞风险。记住要提出问题,要求每年进行网络安全审计、渗透测试和漏洞评估,不要害怕持续仔细检查每个现有供应商,以确保企业的业务和供应链的完整性。

网络安全供应商关系管理
本作品采用《CC 协议》,转载必须注明作者和本文链接
安全初创企业往往是试图解决关键长期问题的创新领头羊。此处为读者奉上其中颇具看点的几家,这几家安全初创企业解决的是多云安全、身份管理、零信任等方面的问题。 如果想要知道网络安全领域的新动向,那看初创安全供应商正在做什么就对了。他们往往从创新想法开始,不受已成型主流方法的限制。初创企业要解决的问题通常是其他人没有解决的。
昨日,丰田因零部件供应商受到“勒索软件”攻击,停止在日所有工厂运行。
加强网络安全是防止网络攻击的最佳方式,但这并不总能阻止黑客占上风。攻击者现在已经将矛头转向供应链攻击,通过瞄准组织供应链中最薄弱的环节,以侵入目标组织的公司网络。
一系列供应链安全事件的发生,使全球化信息化趋势下的供应链安全问题日益引发各国关注。本文将就云服务商供应链安全理念、最佳实践和相关方法进行简要介绍,以期能对包括云服务商在内的 CII 运营者有所参考和借鉴。
网络安全供应商Sophos近日被一种名为SophosEncrypt的新型勒索软件即服务冒充,威胁分子打着这家公司的旗号实施攻击活动。MalwareHunterTeam昨天发现了这个勒索软件,起初还以为是Sophos红队演习的一部分。一旦执行,加密器提示勒索软件加盟组织输入与受害者相关的令牌,该令牌可能最初从勒索软件的管理面板中获取。
2022年3月,欧盟委员会发布《网络安全条例》提案(Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT ANDE OF THE COUNCIL laying down measures for a high level of cybersecurity at the institutions,bosies,officers and agenci
为了了解和驾驭全球网络安全市场,对比国内外网络安全企业的差异,今天我们来看看由国外网络安全垂直媒体eSecurity Planet评选出的《2021年TOP20网络安全供应商》。该榜单由国外研究机构评选出,没有中国企业上榜,请各位读者站在参考和学习的角度阅读。
企业CISO必须密切关注八个问题,确保自己平稳度过厂商的裁员风暴。根据裁员跟踪网站Layoffs.FYI的数据,自2022年初以来,共有34家安全公司宣布裁员或劳动力重组。Dickson认为,如果企业的安全供应商正在裁员,另一个需要关注的重点是导致其裁员的因素。Dickson说,在裁员期间评估供应商提供的安全服务也很重要。
网络攻击正在激增,每年造成数万亿美元的损失。随着数字经济的发展,数字犯罪也在随之增长。在线和移动交互数量的激增正在创造数以百万计的攻击机会。许多网络安全事件引发了数据泄露,严重威胁个人和企业安全。按照目前的增长速度,到2025年,网络攻击造成的损失预计将达到每年10.5万亿美元,比2015年的水平增长300%。
VSole
网络安全专家