组织网络弹性之旅第9部分:供应链和第三方

admin 2023年10月19日14:27:11评论6 views字数 3486阅读11分37秒阅读模式

组织网络弹性之旅第9部分:供应链和第三方

我们旅程的下一站重点关注您所依赖的方面:供应链第三方与外部合作伙伴合作可能很困难。但是,还有一线希望。最近的攻击给行业敲响了网络安全弹性的警钟。

您会看到,使用外部合作伙伴的目的是利用您的组织不具备的能力,或者供应商只是比您更擅长。反过来,存在一种产品或效率激励,通过交换,您的组织可以更高效地运营。称之为权衡。

这与任何想要进行交易的运动队没有什么不同。当组织寻求与外部团体合作时,它将执行:

  • 风险分析

  • 成本/效益研究

  • 投资回报评估。

本质上,组织通过一个过程来确定他们是否会放弃今天有价值的东西以换取未来的一些利益(例如,通过合同和保密方式共享您的知识产权以换取更好的绩效)。称之为商业案例。

对于许多组织来说,这种安排在一段时间内通常运作良好。然而,裂缝已经开始显现。因此,值得问的是:风险值得回报吗?

继承供应商的网络安全弹性漏洞

与外部合作伙伴合作已成为一项风险更高的业务这并不是说组织应该停止这些伙伴关系。坦率地说,如果没有外部合作伙伴,大多数组织很可能无法运行,特别是如果它们严重依赖服务和平台(想想“即服务”模型)。因此,组织需要认识到他们所承担的风险,因为计算方法最近发生了一些变化。也就是说,一个组织更有可能继承其外部合作伙伴的弱点,以转移风险或抵消低效率。

供应链标准

如今,供应链领域在与合作伙伴合作方面发生了很多事情。例如,5 月 12 日发布的第14208 号行政命令《改善国家网络安全》责成 NIST确定现有或开发新的标准、工具、最佳实践和其他指南,以增强软件供应链安全。同样在 2021 年,ISO 审查并制定了现行ISO 28001:供应链安全管理体系 — 实施供应链安全、评估和计划的最佳实践 — 要求和指南。对于一些非常详细的指导,包括一些映射回NIST SP 800-53 的控制,那些关注供应链的人可以参考NIST SP 800-161联邦信息系统和组织的供应链风险管理实践。

所有这些信息安全和网络安全框架和标准都可以帮助提高您的组织弹性。让我们不要深入研究这些文档,而是重点关注一些关键注意事项,以帮助最大限度地降低组织的风险。

网络安全弹性的信任和验证

在理想的情况下,您将有机会验证供应商的安全报告(例如渗透测试结果和 SOC II 报告、业务连续性计划灾难恢复策略危机管理协议以及独立认证和测试确认)。

新闻快讯:不要指望您会得到所有这些信息。从供应商的角度来看:与所有客户共享所有这些信息难道不会有风险吗?确实如此。那么,您如何平衡这个难题呢?

那么,您应该做的第一件事就是开始将您的供应商分成两组。如何标记它们完全取决于您,但请以主要和非主要作为参考点进行思考。这并不一定意味着它们对您和您的组织来说是主要还是非主要。您很快就会发现非主要供应商可能对您的网络安全弹性至关重要。同时,主要供应商可能对您的运营根本不重要。

通过证据、文物和确认建立信心

将主要供应商视为非常大的供应商,可能拥有数百、数千甚至更多的客户。这些类型的组织可能拥有巨大的资源(和影响力),因此验证信息可能会受到限制。但这不一定是障碍。您可能无法访问特定报告。相反,您可能拥有独立评估员的证明或认证文件,证明主要供应商符合要求。如果幸运的话,您甚至可能会得到一些黑色的报告结果。关键是要获得某种类型的证据或工件,让您相信主要供应商可以很好地管理中断。

另外,您必须绝对记住这一点:确保检查您的合同和服务级别协议。您的供应商保持其灯亮着并不一定意味着供应商保持您的灯亮着。其中许多安排都有共同的责任。

非主要供应商仍然很重要

另一方面,非主要供应商可能不具备跨国企业的资源。这使得它们对您的运营同样重要。例如,区域参与者对于您提供产品和服务可能至关重要。如果你失去了他们,你就无法为你的客户群提供服务。或者说,他们是高度专业化的。这个示例完美地说明了为什么您应该识别依赖关系,不仅是资产的依赖关系,还包括流程以及产品和服务交付的依赖关系。

对于非主要供应商,您可能在提取安全性和弹性相关信息方面具有一定的优势。您更有可能要求提供测试证据、补救措施证明和应急计划。威胁离开另一家服务提供商当然可以刺激合作。但是,这并不是欺负他们的借口。请记住,最终状态与主要提供商的最终状态没有什么不同。你需要一些有形的东西来获得你的信心。

供应商作为网络安全弹性的合作伙伴

当您继承了供应链和第三方的脆弱性时,这种关系可能会从交易性转变为更像是合作伙伴关系。这就是为什么您需要对这种伙伴关系充满信心。如果缺乏信心,可能是时候寻找新的合作伙伴了。请记住,当今的外部供应商可以而且很可能会增加您的风险状况。明智地选择,就像所有具有网络安全弹性的事物一样,仍然做好抵御风暴的准备。

下一步:数据生命周期,从创建到使用、处理到销毁

>>>等级保护<<<
开启等级保护之路:GB 17859网络安全等级保护上位标准
网络安全等级保护:什么是等级保护?
网络安全等级保护:等级保护工作从定级到备案
网络安全等级保护:等级测评中的渗透测试应该如何做
网络安全等级保护:等级保护测评过程及各方责任
网络安全等级保护:政务计算机终端核心配置规范思维导图
网络安全等级保护:信息技术服务过程一般要求
网络安全等级保护:浅谈物理位置选择测评项
闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载
闲话等级保护:什么是网络安全等级保护工作的内涵?
闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
闲话等级保护:测评师能力要求思维导图
闲话等级保护:应急响应计划规范思维导图
闲话等级保护:浅谈应急响应与保障
闲话等级保护:如何做好网络总体安全规划
闲话等级保护:如何做好网络安全设计与实施
闲话等级保护:要做好网络安全运行与维护
闲话等级保护:人员离岗管理的参考实践
信息安全服务与信息系统生命周期的对应关系
>>>工控安全<<<
工业控制系统安全:信息安全防护指南
工业控制系统安全:工控系统信息安全分级规范思维导图
工业控制系统安全:DCS防护要求思维导图
工业控制系统安全:DCS管理要求思维导图
工业控制系统安全:DCS评估指南思维导图
工业控制安全:工业控制系统风险评估实施指南思维导图
工业控制系统安全:安全检查指南思维导图(内附下载链接)
业控制系统安全:DCS风险与脆弱性检测要求思维导图
>>>数据安全<<<
数据治理和数据安全
数据安全风险评估清单
成功执行数据安全风险评估的3个步骤
美国关键信息基础设施数据泄露的成本
备份:网络和数据安全的最后一道防线
数据安全:数据安全能力成熟度模型
数据安全知识:什么是数据保护以及数据保护为何重要?
信息安全技术:健康医疗数据安全指南思维导图
金融数据安全:数据安全分级指南思维导图
金融数据安全:数据生命周期安全规范思维导图
>>>供应链安全<<<
美国政府为客户发布软件供应链安全指南
OpenSSF 采用微软内置的供应链安全框架
供应链安全指南:了解组织为何应关注供应链网络安全
供应链安全指南:确定组织中的关键参与者和评估风险
供应链安全指南:了解关心的内容并确定其优先级
供应链安全指南:为方法创建关键组件
供应链安全指南:将方法整合到现有供应商合同中
供应链安全指南:将方法应用于新的供应商关系
供应链安全指南:建立基础,持续改进。
思维导图:ICT供应链安全风险管理指南思维导图
英国的供应链网络安全评估
>>>其他<<<
网络安全十大安全漏洞
网络安全等级保护:做等级保护不知道咋定级?来一份定级指南思维导图
网络安全等级保护:应急响应计划规范思维导图
安全从组织内部人员开始
VMware 发布9.8分高危漏洞补丁
影响2022 年网络安全的五个故事
2023年的4大网络风险以及如何应对
网络安全知识:物流业的网络安全
网络安全知识:什么是AAA(认证、授权和记账)?
美国白宫发布国家网络安全战略
开源代码带来的 10 大安全和运营风险
不能放松警惕的勒索软件攻击
10种防网络钓鱼攻击的方法
5年后的IT职业可能会是什么样子?
累不死的IT加班人:网络安全倦怠可以预防吗?
网络风险评估是什么以及为什么需要
美国关于乌克兰战争计划的秘密文件泄露
五角大楼调查乌克兰绝密文件泄露事件
湖南网安适用《数据安全法》对多个单位作出行政处罚
如何减少制造攻击面的暴露
来自不安全的经济、网络犯罪和内部威胁三重威胁
2023 年OWASP Top 10 API 安全风险
什么是渗透测试,能防止数据泄露吗?
SSH 与 Telnet 有何不同?
管理组织内使用的“未知资产”:影子IT
什么是数据安全态势管理 (DSPM)?
全国网络安全等级测评与检测评估机构目录(7月12日更新)

原文始发于微信公众号(祺印说信安):组织网络弹性之旅第9部分:供应链和第三方

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年10月19日14:27:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   组织网络弹性之旅第9部分:供应链和第三方http://cn-sec.com/archives/2127094.html

发表评论

匿名网友 填写信息