供应链是安全工作的重中之重, 面对无形风险,企业应如何应对?
2014年,OpenSSL 密码库中的重大安全漏洞 Heartbleed 被披露出来时,安全行业迎来了惊天动地的大变动。过去乃至未来,OpenSSL 都是用来保护设备、Web 服务器与服务和应用主机内数据通信的重要组件。
这一发现影响到了全球数百万需要在其环境中不断打补丁和升级更新的用户和企业,同时受到影响的还有软件和硬件提供商,他们不得不仔细查看数百万行代码来替换易受攻击的组件。
目前,由于企业需要不断提供新服务、新功能,并更好的满足客户的各种新需求,因此,为了成功应对紧迫的交货期,团队正在不断利用并集成更多由第三方研发的产品。由于这些组件已经与内部系统变得完全密不可分,因此识别各个组件的单独来源就变得更困难。更重要的是,也更难清楚地指出供应链中的各种风险。
通常企业有很多经过正式认证的合作伙伴,但也很可能有更多并未通过审核的合作伙伴,而这些未经审核的合作伙伴完全规避了任何安全审计,甚至是缺乏基本的身份认证。
即使是得到正式认证的供应商和技术合作伙伴也可能暴露在未公开的供应链中,因为为了更快更好地为企业服务,他们也采用了来自其他第三方的解决方案和代码。随着企业越来越多地采用云端功能,这一过程还会进一步恶化。
企业应如何应对?
企业从一开始就必须承认这个事实:对任何应用或服务中采用的每一行代码都进行彻底地测试和审查实际上是不可能的。这就与多数安全团队在日常工作中遇到的警报过载问题类似。
然而,安全团队可以从不同角度看问题,能够采用智能方法处理堆积如山的事务,简化重大威胁的识别过程,同样地,企业也可以提前采取措施,将供应链风险降至最低。
供应商、合作伙伴和第三方的代码和服务来源要比代码行少得多。虽然记录这些关系不是一项可以在数天时间内完成的简单任务,但却是一项人力范围内的任务。而且人们对记录这些关系的必要性的认识还会随着时间的推移越来越普遍。并会融入到各种活动中,届时,这一任务还可以得到改进。
一旦这些关系被确定,就可以通过扫描论坛和其他网站上有关企业本身、其供应链中的第三方、其关键高管、贡献人员等的新闻报道、文章等内容,来监控这些关系是否存在问题、声誉、品牌和其他问题。通常,这可以作为数字威胁和品牌监测服务的一部分。虽然多数企业都在考虑将这些服务应用在企业、品牌和关键人员中,但这种可见性是可以扩展到合作伙伴、第三方的。
通过将此服务的可见性与威胁情报数据相结合,这些数据可以密切监视环境中部署的组件可能出现的问题,企业可以全方位查看与其供应链相关的潜在威胁和风险情况。它还提供了可定期更新的声誉和风险评分,可以快速确定新兴的关注领域和相关性。这是采用可扩展方法缓解并解决潜在问题的良好方法。
最重要的是?
随着企业越来越依赖于第三方的组件、平台、服务和其他元素来为自己的部署提供关键功能因此,企业必须纳入一个流程来监控其供应链对自己的安全计划所构成的风险。