自SolarWinds供應鏈攻擊事件以來，人們越來越關注各種規模的組織如何確保其供應商的安全。事實證明，無論規模大小，各類組織都淪為了供應鏈攻擊的受害者。即便是坐擁政府資源和資金的美國財政部和國土安全部同樣難逃魔爪——它們也在SolarWinds攻擊事件中受到了影響。

　　遺憾的現實是，供應鏈攻擊并不會消失。2021年第一季度，137家組織報告稱在27家不同的第三方供應商處遭受了供應鏈攻擊，而供應鏈攻擊的數量比上一季度增長了42%。

　　這就引出了一個問題：當供應鏈攻擊的威脅越來越大時，企業應該如何降低風險？

　　評估供應商風險的10個最佳實踐

　　雖然不能保證企業可以在供應鏈攻擊發生之前檢測到它，但企業可以考慮下述10項最佳實踐，來幫助降低風險并驗證其供應鏈的安全性。

　　評估如果供應商的IT基礎設施受到損害，每個供應商可能對您的業務產生的影響。

　　雖然進行全面風險評估是首選，但規模較小的組織可能沒有資源和能力進行評估。不過，他們至少應該分析最壞的情況并了解以下問題：

　　針對該供應商系統的勒索軟件攻擊將如何影響我的業務？

　　如果供應商的源代碼被木馬病毒破壞，我的業務會受到什么影響？

　　如果供應商的數據庫遭到破壞并且數據被盜，這將如何影響我的業務？

　　評估每個供應商的內部IT資源和能力。

　　他們是否有由安全經理或CISO領導的專門網絡安全團隊？確定供應商的安全領導很重要，因為他們可以回答您的問題。如果團隊不存在此類職務或人員不足，沒有真正的領導，您可能需要慎重考慮與該供應商的合作問題。

　　與供應商的安全經理或CISO會面，了解他們如何保護其系統和數據。

　　這一過程可以通過簡短的會議、電話，甚至是電子郵件對話完成，具體取決于步驟1中確定的風險。

　　索取證據來驗證供應商的主張。

　　滲透報告是一種有用的方法。確保測試范圍是適當的，并在可能的情況下，要求提供兩次連續測試的報告，以驗證供應商是否根據其發現采取行動。

　　如果您的供應商是軟件供應商，請要求進行獨立的源代碼審查。

　　在某些情況下，供應商可能會要求簽訂保密協議（NDA）才會共享完整報告或可能選擇不共享。發生這種情況時，請索取一份執行摘要。

　　如果您的供應商是云供應商，可以掃描供應商的網絡。

　　執行Shodan搜索，或要求供應商提供他們自己的掃描報告。如果您打算自己掃描，請從供應商處獲得許可，并要求他們將客戶地址與他們自己的地址分開，這樣您就不會掃描到不相關的內容。

　　如果供應商是軟件或云供應商，查明供應商是否正在運行漏洞賞金計劃。

　　這些項目可以幫助組織在攻擊者有機會利用漏洞之前找到并修復漏洞。

　　詢問您的供應商他們如何確定風險的優先級。

　　例如，通用漏洞評分系統（CVSS）是一種免費且開放的行業標準，用于評估計算機系統安全漏洞的嚴重性并分配嚴重性評分，以便供應商可以優先考慮風險響應。

　　索取供應商的漏洞修復報告。

　　他們擁有報告這一事實表明了他們對安全和管理漏洞的承諾。如果可能，請嘗試獲取由獨立實體生成的報告。

　　步驟1到9應該每年重復一次，具體取決于供應商面臨的威脅及其對企業的影響。

　　對于影響較小的供應商，可以稍微放寬頻率；對于具有高風險且風險會嚴重影響企業業務的供應商，企業可以制定永久性評估流程。但是，大型SaaS和IaaS提供商可能不愿意參與正在進行的評估。

　　總結

　　通過遵循上述推薦的最佳實踐，企業可以識別與特定供應商相關的風險，了解供應商如何管理這些風險，并收集有關供應商如何減輕這些風險的證據。基于此證據和風險偏好，企業可以做出是否與該供應商合作的明智決定。最后，當您執行這些評估時，請以一致性為目標并尋找隨時間變化的風險。

　　請記住，我們無法確保可以阻止供應鏈攻擊，但通過下一代反惡意軟件防護來保護您自己的環境，與您的用戶進行持續的網絡安全培訓，并遵循這些最佳實踐，可以降低組織面臨的風險。