严格的网络安全规定对于加强供应链风险管理来说至关重要,本文将提供3个最佳实践,以供企业参考。
拓宽供应商的尽调范围
- 源代码出自哪里
- QA 流程是怎样的
- SLA(服务级别协议) 中对漏洞的识别和修复是如何明确的
企业可以使用问卷来收集上述信息,但评估反馈有效期短。因此,通过不断更新供应商风险数据来强化供应商评估非常重要,这些数据可以参考以下来源:
- 黑客论坛、威胁源以及泄漏凭据的 Paste 网站。监控这些信息可以提供早期预警指标表明供应链合作伙伴已经/将成为目标。
- 安全社区、代码库、漏洞数据库和历史数据泄露通知,以定期检查供应商的安全情况。
- 供应商可能会造成品牌名誉损害,因此需要查看此前的负面媒体报道,是否被列入制裁名单等。
明确第四方供应商及潜在供应链风险
为了克服上述挑战,企业可以尝试使用第三方评估平台构建全面的供应商画像,其中包括供应商的一些关键信息,如位置、第四方合作伙伴和部署的技术(包括来自外部供应商边界扫描的信息)。结果以关系图呈现,可以轻松识别技术集中风险。
自动化事件响应以降低风险
然而,使用表单来评估和分类潜在数百个供应链合作伙伴的风险,会导致企业在评估供应商的风险敞口和修复计划时无从下手。
以下是采取更智能、更快速的事件响应方法的几个步骤:
- 集中管理所有供应商。软件供应链风险很普遍,且远不止企业所认为最关键的供应商。
- 发布和跟踪特定事件的评估以及补救建议,以提高风险处理效率。评估应当包括发生故障时的业务连续性、备份、恢复计划等方面。
- 让第三方供应商能够使用标准化事件报告评估来主动报告事件,该评估可自动对风险进行评分和升级,同时进行适当的分类和报告。
- 使用工作流规则触发自动化操作,让企业能够根据风险对业务的潜在影响对风险采取行动。
- 集中分析评估结果,以便与合作伙伴协调补救措施,并向管理层报告进展情况。
采用手动、被动的方法进行第三方软件漏洞检测和事件响应只会增加业务中断的风险。而本文中提及的三个最佳实践,能够帮助您为下一个供应链安全挑战做好更充分的准备。
参考链接:
Supply Chain Security Training Act of 2021
https://www.congress.gov/bill/117th-congress/senate-bill