但是考慮到分布式工作的發(fā)展,特別是自從新冠疫情爆發(fā)以來,現(xiàn)在還有什么不是供應(yīng)鏈的一部分?同樣,哪個(gè)工作場(chǎng)所不包括在遠(yuǎn)程工作的各個(gè)方面?
對(duì)云托管平臺(tái)、較弱的身份驗(yàn)證解決方案和公共工具的依賴已經(jīng)變得普遍,而且現(xiàn)在已經(jīng)沒有回頭路。人們所處的密集生態(tài)系統(tǒng)都在向其他一切滲透,企業(yè)之間的聯(lián)系只會(huì)變得更加密切。
當(dāng)然,在考慮安全性時(shí),企業(yè)在業(yè)務(wù)上最依賴的供應(yīng)商應(yīng)該超越其他供應(yīng)商。但如果供應(yīng)鏈?zhǔn)侨魏慰赡茏屍髽I(yè)有機(jī)會(huì)跳轉(zhuǎn)到另一個(gè)目標(biāo)的事物,那么幾乎所有事物都是供應(yīng)鏈的一部分。對(duì)于網(wǎng)絡(luò)攻擊者來說,供應(yīng)鏈中的所有弱點(diǎn)看起來都一樣:都是攻擊的機(jī)會(huì)。
提高生產(chǎn)力的成本
雖然網(wǎng)絡(luò)攻擊者的動(dòng)機(jī)是機(jī)會(huì),但企業(yè)必須處理其模糊的界限,這些界限曾經(jīng)是網(wǎng)絡(luò)安全的基礎(chǔ),其原因是生產(chǎn)力。
例如,越來越多的企業(yè)使用GitHub作為他們的代碼管道。即使有像GitLab這樣的內(nèi)部解決方案也是如此,因?yàn)镚itHub是開發(fā)人員上傳和管理代碼的更方便的方式。
IT專業(yè)人士知道鎖定公共工具是可能的,但沒有人會(huì)認(rèn)為默認(rèn)情況下它是安全的。事實(shí)上,情況恰恰相反。像GitHub這樣的軟件為那些攻擊者提供了各種機(jī)會(huì)。
網(wǎng)絡(luò)攻擊者查看GitHub,可能看不到將成為他們實(shí)際攻擊媒介的服務(wù)器,甚至看不到他們找到植入后門方法的服務(wù)器。但它是硬編碼的開發(fā)人員憑據(jù)、有關(guān)軟件包內(nèi)部工作的重要信息等的關(guān)鍵情報(bào)來源。該視圖可以讓高級(jí)威脅參與者深入了解如何構(gòu)建有效的后門,以及可以將其植入到何處,以便在不被發(fā)現(xiàn)的情況下輕松而可靠地訪問。
GitHub還向網(wǎng)絡(luò)攻擊者提供有權(quán)訪問存儲(chǔ)庫(kù)的開發(fā)人員列表。一旦在企業(yè)網(wǎng)絡(luò)中站穩(wěn)了腳跟,這份清單就可以作為一系列完美的目標(biāo)?,F(xiàn)在可能由于一臺(tái)被侵入的筆記本電腦包含一個(gè)GitHub登錄名,整個(gè)代碼存儲(chǔ)庫(kù)以及它的宿主組織都可能遭到破壞。
同樣,正式或非正式的“自帶設(shè)備”政策的激增,以及開發(fā)人員從自己的設(shè)備登錄到易于訪問的服務(wù),極大地?cái)U(kuò)大了企業(yè)的攻擊面,因?yàn)樗俗鳛閮?nèi)部服務(wù)防御的關(guān)鍵分段。
像攻擊者一樣思考,然后像企業(yè)高管一樣思考
由于GitHub、AWS等服務(wù)構(gòu)成了一個(gè)復(fù)雜的供應(yīng)鏈威脅網(wǎng)絡(luò),因此很難將這些風(fēng)險(xiǎn)簡(jiǎn)明地傳達(dá)給企業(yè)中的決策者。這就是在討論供應(yīng)鏈攻擊等新聞中經(jīng)常出現(xiàn)的話題,溝通是關(guān)鍵的原因。當(dāng)只有幾分鐘的時(shí)間來推銷安全信息時(shí),簡(jiǎn)潔的溝通是至關(guān)重要的,而這可能觸及問題關(guān)鍵。
安全專業(yè)人員通常喜歡談?wù)撍麄児ぷ鞯募?xì)節(jié),即使他們的聽眾不喜歡。其挑戰(zhàn)在于建立安全投資的背景和需求,同時(shí)將它們與企業(yè)的目標(biāo)聯(lián)系起來,而不是散布沒有人愿意想象的噩夢(mèng)。
專注于最大的創(chuàng)收組織和最大的創(chuàng)收產(chǎn)品自然會(huì)吸引企業(yè)高管人員的注意。這為探索這些領(lǐng)域可能面臨的威脅以及如何在不犧牲太多生產(chǎn)力的情況下應(yīng)對(duì)這些威脅創(chuàng)造了機(jī)會(huì)。
了解供應(yīng)鏈中的關(guān)鍵是企業(yè)控制的元素、瓶頸在哪里,以及可以在哪里引入關(guān)鍵緩解措施以防止小問題發(fā)展成為整個(gè)領(lǐng)域的危害。讓企業(yè)高管了解供應(yīng)鏈的規(guī)模和無定形性也是至關(guān)重要的,因?yàn)榫W(wǎng)絡(luò)攻擊者很清楚。
例如,如果企業(yè)公司使用Microsoft Teams,那么生產(chǎn)組織結(jié)構(gòu)圖中的每個(gè)人都可能知道這一點(diǎn)。但是他們可能沒有意識(shí)到,作為這個(gè)無處不在的云服務(wù)的宿主,微軟公司現(xiàn)在是供應(yīng)鏈的一部分?,F(xiàn)在,對(duì)于在全球大多數(shù)國(guó)家開展業(yè)務(wù)的全球規(guī)模最大軟件公司的任何潛在風(fēng)險(xiǎn),對(duì)企業(yè)來說都是潛在風(fēng)險(xiǎn)。
不管是好是壞,都在一起
從網(wǎng)絡(luò)攻擊者的角度考慮安全,尤其是信息安全,將會(huì)產(chǎn)生一種殊途同歸的感覺。
從那些以攻擊企業(yè)業(yè)務(wù)的攻擊者的角度來看,可以看到與企業(yè)合作的每家公司以及使用的每一種工具都是企業(yè)安全中潛在的薄弱環(huán)節(jié)。因此,企業(yè)難以在不影響其上游和下游的每個(gè)組織的情況下做出風(fēng)險(xiǎn)決策。但是,這些決策的范圍通常會(huì)產(chǎn)生巨大的風(fēng)險(xiǎn),因此企業(yè)了解其主要供應(yīng)商和客戶通常是邁向有效供應(yīng)鏈安全的最主要的一步。
人們需要認(rèn)識(shí)到生產(chǎn)力的回報(bào)伴隨著相互依賴的風(fēng)險(xiǎn),而這是減少網(wǎng)絡(luò)攻擊者的攻擊機(jī)會(huì)的關(guān)鍵一步。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)