网络安全知识:绘制供应链图

admin 2024年4月10日10:54:04评论8 views字数 3801阅读12分40秒阅读模式

网络安全知识:绘制供应链图

组织如何映射其供应链依赖性,以便更好地理解和管理供应链中的风险。

介绍

本指南针对的是需要获得信心或确保已针对与供应商合作相关漏洞采取缓解措施的大中型组织。

请结合 NCSC 关于如何评估供应链网络安全并获得信心的指南一起阅读。

什么是供应链映射?

供应链绘图 (SCM) 是记录、存储和使用从参与公司供应链的供应商处收集的信息的过程。目标是对您的供应商网络有最新的了解,以便更有效地管理网络风险并进行尽职调查。

许多组织依赖供应商来提供产品、系统和服务。供应链通常庞大且复杂,有效地保护供应链可能很困难,因为漏洞可能是固有的、在其中的任何一点引入或利用的。这使得您很难知道您是否在整个供应链中拥有足够的保护。

:SCM遵循一切良好风险管理的原则;组织需要了解其供应链中固有的风险,然后引入与这些风险发生的可能性(和影响)成比例的安全措施。

供应链管理的好处

了解您的供应商是、他们提供什么以及如何提供将帮助您管理可能出现的网络安全风险。绘制供应链图可以让您根据风险做出更明智的业务决策,特别是:

  • 更好地洞察网络安全考虑因素,可以通过合同更轻松地执行

  • 更好地应对供应链相关网络事件

  • 能够建立可重复的方法,使您对供应商的安全实践充满信心,并建立长期合作伙伴关系

  • 更容易遵守法律、监管和/或合同责任

  • 定期评估供应链将减少网络攻击或破坏的可能性

完全消除供应链攻击是不可能的  。如果出现风险,能够快速响应将限制对组织造成的损害范围。

SCM应包含哪些信息?

以一致的方式收集有关供应商的信息并将其存储在访问控制的集中存储库中,将确保更容易分析和维护。这最终将使您能够更好地管理风险,因为您将获得始终最新的供应链的全面视图。

可能有用的典型信息包括:

  • 供应商及其分包商的完整清单,显示他们如何相互联系

  • 正在提供什么产品或服务、由谁提供以及该资产对您的组织的重要性

  • 您的组织和供应商之间的信息流(包括对该信息价值的理解)

  • 供应组织内的保证联系人

  • 有关上次评估完整性的信息、下一次保证评估到期时间的详细信息以及任何未完成的活动

  • 任何所需认证的证明,例如 Cyber Essentials、ISO 认证、产品认证

获取这些信息可能是一项艰巨的任务,特别是对于具有复杂供应链的大型组织而言。NCSC 关于如何评估供应链网络安全的指南将有助于完成此任务,并且还可以确保捕获来自新供应商的供应链依赖性。

注意:此信息对于攻击者来说是一个有吸引力的目标,因此所有 SCM 资产都应保存在一个安全的存储库中,并具有强大的安全架构来支持其设计。

绘制供应商地图的工具

有关现有供应商的信息可能已存在于您的采购系统中。如果供应商有多个入口点,则需要汇总相关信息。根据您组织的规模,考虑商业工具可能会有所帮助,这些工具可以:

  • 协调现有供应链信息

  • 帮助及时更新有关供应商保证的信息

  • 监控初始层以外的供应链,并识别承包商和分包商的集中风险

  • 使您的供应链连接、互动和可视化变得更加容易

供应链中的分包商

供应链中任何地方存在的漏洞,无论是您的直接供应商还是他们分包给的供应商,都可能会影响您的组织。对于大型组织,应评估主要层之外的理解的实用性和有用性,并且最初只应捕获有关直接承包商的信息。

您需要在供应链中走多远?到底什么是分包的,其重要性是什么(考虑到组织的风险标准)?这些问题需要预先考虑获取信息的需求与获取信息的成本。你应该:

  • 确定使用的技术、系统和服务的重要性

  • 考虑一下准备投入多少精力来建立整个供应链

  • 与主要供应商签订合同条款,以提供供应链的可见性

  • 让供应商放心如何使用这些信息以及谁可以访问这些信息,因为供应商可能对共享商业敏感信息持谨慎态度

  • 使用此共享信息来了解直接一级供应商正在使用的主要共享供应商,突出集中风险

  • 确保也考虑数据供应链(即产品可能使用第三方的数据,甚至依赖其他人的数据)

供应商和分包商的合同条款

与供应商和分包商签订的合同应考虑以下条款:

  • 事件管理响应和响应违规的通知时间框架(以及为组织提供支持以查找根本原因)

  • 审核供应商/分包商的能力(以及预期审核频率)

  • 数据管理(仅可以将必要的数据传输出组织网络)

  • 数据完整性(数据是否通过身份验证和加密进行保护,如果数据保存在供应商平台上,数据是否会被隔离?)

  • 对供应商访问物理场所、信息系统和知识产权的管理控制(包括确保其保持最新的流程)

  • 您的直接供应商应向供应链提出的任何要求(如上所述)

入门

您的方法将取决于组织的采购和风险管理流程以及可以使用的工具。以下是首次接触SCM 的组织的首要优先事项。

  1. 使用现有商店(例如采购系统)来建立已知供应商列表。优先考虑对组织至关重要的供应商、系统、产品和服务。

  2. 确定哪些信息对捕获有关供应链有用。

  3. 了解如何安全地存储信息并管理对其的访问。

  4. 确定是否要收集有关供应商分包商的信息,以及到底要收集到多远的信息链才是有用的。

    • 考虑使用额外的服务来评估供应商并提供有关其网络风险状况的补充信息。

    • 对于新供应商,请在采购流程中预先说明期望供应商提供的内容。

    • 对于现有供应商,告知他们您想要捕获有关他们的哪些信息以及原因,并将从现有供应商收集的信息改进到集中存储库中。

  5. 更新标准合同条款,以确保在开始与供应商合作时按标准提供所需信息。

  6. 定义组织中谁最适合使用此信息;这可能包括采购、企业主、网络安全和运营安全团队。让他们了解信息存储并提供访问权限。

  7. 考虑创建一个剧本来处理发生事件的情况,并且您可能需要协调整个供应链以及第三方(例如执法机构、监管机构甚至客户)的工作。有用的供应链场景可以在NCSC 盒式服务练习中找到

  8. 最后,记录由于供应链映射而需要在采购流程中更改的步骤。例如,您可能需要考虑排除那些无法令人满意地证明其满足您的最低网络安全需求的供应商。

—END—

网络安全知识:绘制供应链图

精彩回顾:祺印说信安2024之前
230个网络和数据安全相关法律法规规范文件打包下载
2023年收集标准合集下载
收集信通院白皮书系列合集(618个)下载
美国网络安全机构更新了DDoS缓解指南
CISA发布桌面演习包:水坝部门-水电设施
>>>网络安全等级保护<<<
网络安全等级保护:等级保护工作、分级保护工作、密码管理工作三者之间的关系
等级保护网络架构安全要求与网络分段的7个安全优点
网络安全等级保护相关知识汇总
等级保护测评之安全物理环境测评PPT
>>>数据安全系列<<<
数据安全管理从哪里开始
数据安全知识:数据安全策略规划
数据安全知识:数据库安全重要性
数据安全知识:数据整理与数据清理
>>>错与罚<<<
北京多家公司因不履行网络安全保护义务被处罚!“两高一弱”仍然是安全隐患重点
严厉打击网络谣言!商丘警方公布4起典型案例
新乡网安依法查处3起不履行网络安全保护义务案
侮辱南阳火灾遇难学生的“谯城芳芳姐”获十日行政拘留
宁夏网警公布5起打击谣言典型案例
吉林警方公布3起、湖北公安公布5起打击谣言典型案例
安徽警方依法打击整治网络谣言10起典型案例
2023年度国家网络与信息安全信息通报工作总结会议在京召开
焦点访谈丨拒绝“按键”伤人 避免网络戾气变成伤人利器
全国公安厅局长会议召开 忠实履行神圣职责 为扎实稳健推进中国式现代化贡献公安力量
公安部:纵深推进全面从严管党治警 着力锻造忠诚干净担当的新时代公安铁军
山西公布10、辽宁网警公布6起打击谣言典型案例
重庆璧山出现比缅甸还恐怖的新型背债人?警方:系某房产中介为博眼球造谣
上海、四川、浙江、福建警方宣传和打击整治网络谣言
四川德阳网警开展打击整治网络谣言宣传活动
广安警方公布4起打击整治网络谣言典型案例
四川查处两起利用AI编造、传播网络谣言案件
西安网警依法处置一起网络暴力案件
中信银行被罚400万,涉信息安全风险隐患未得到整改、虚假演练等
中行被罚430万,涉迟报重要信息系统重大突发事件等
新疆警方公布5起打击整治网络谣言典型案件
山西忻州一网民因编造地震谣言被依法查处
公安部召开新闻发布会通报打击黑客类违法犯罪举措成效并答记者问
有坏人!快藏好您的个人信息
在西藏架设“GOIP”设备给骗子提供帮助,10人落网!
网上买卖传播淫秽物品,触犯法律!
“温州帮”竟然是缅北电诈后台?警方通报来了
借甘肃积石山地震造谣博流量,行拘!
陕西警方公布6起打谣典型案例
“再来一次12级地震”,行拘!
江西警方公布7起“打谣”典型案例
江苏警方公布8起打谣典型案例
越想越生气,酒后干出糊涂事……
邯郸刘某某因编造网络谣言被依法查处!
>>>其他<<<
2023年10佳免费网络威胁情报来源和工具
2023年网络安全资金下降40%
为什么攻击模拟是避免 KO 的关键
持续安全监控对于稳健的网络安全策略的重要性
网络安全策略:远程访问策略
网络安全策略:账户管理策略
保护企业的19项网络安全最佳实践
实现混合网络时代的“无摩擦防御”

物联网不是一份持续接受的礼物

确保完整的 IT 资产可见性及安全

网络安全行业裁员的负面影响专业人员可能涌入网络犯罪

现代网络安全基于风险的漏洞管理

网络安全框架2.0版之CSF层的概念图示

网络安全领域薪酬新趋势

英国政府发布云 SCADA 安全指南

网络安全框架2.0版之CSF核心

网络安全框架2.0版之前言和概述

网络安全框架2.0版之CSF核心简介

网络安全框架2.0版之CSF配置文件和层简介

安全运营和事件管理的10个教训

看老外如何为网络安全合规时代做好准备

基于打字模式的键盘声学侧通道攻击

运营技术 (OT) 和网络安全:保护关键信息基础设施

运营技术之云托管的监控和数据采集 (SCADA)

运营技术之技术和云解决方案适用性

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月10日10:54:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全知识:绘制供应链图http://cn-sec.com/archives/2643636.html

发表评论

匿名网友 填写信息