识别网络供应链风险
首次发布:2021年1月
最后更新时间:2023年5月
编译:老烦的草根安全观
编译时间:2025年1月17日
介绍
本指南旨在协助组织识别与使用供应商、制造商、分销商和零售商(即构成其网络供应链的企业)相关的风险。
网络供应链是组织使用的所有产品和服务的生命周期中一系列复杂的交互。每当一个组织与供应商、制造商、分销商或零售商互动时,都存在固有的风险。因此,这些业务可能会影响组织系统及其自身产品或服务的安全性。如果产品或服务访问有价值的系统,以特权访问方式运行或控制网络供应链的很大一部分,它们可能代表了一个可能被恶意行为者利用的弱点。在这种情况下,这可能会产生广泛而有害的后果。
外国控制、影响和干涉
国籍考虑
供应商、制造商、分销商和零售商的国籍对于组织评估其网络供应链风险的能力至关重要。组织应确定参与其系统、产品和服务的设计、制造、交付、维护、退网和清除的企业的国籍。
很难确定供应商、制造商、分销商和零售商的国籍,特别是对于跨国公司来说。因此,组织应该使用他们在官方文件(如年度报告)中发布的关于自己的数据来研究企业,并使用可靠的第三方来源来验证这些信息。一般来说,国籍取决于企业的注册地、中央管理层的所在地以及控制投票权的人的国籍。
如果一个企业故意伪装成自己的国籍,那么公开的信息可能不足以确定其合法性。如果运营具有国家意义的关键基础设施或系统,请就这些事项寻求澳大利亚政府的援助。
外国控制
外国控制是指供应商、制造商、分销商或零售商受外国政府法律的约束。在这种情况下,企业可能不得不遵守与澳大利亚法律或利益相冲突的指示。此外,总部设在国外的此类企业可能受制于授予外国政府对该企业控制权或访问其数据的权力。
外国影响和干涉
外国影响力是指外国政府试图以有利于其利益的方式影响澳大利亚社会。例如,政治游说等活动是以公开和透明的方式进行的,并不令人担忧。然而,当秘密进行时,它具有欺骗性、腐蚀性或威胁性,当它违背澳大利亚的主权和利益时,它被归类为外国干涉。
识别网络供应链安全风险
组织应确定与自身产品、服务和系统安全相关的组件和服务。因此,组织应审查每个供应商、制造商、分销商和零售商,以评估其安全风险状况的潜在增加。以下问题可以帮助完成这一过程。
外国控制或干涉造成的风险
l企业受到外国控制或干涉的可能性有多大?
l外国政府在控制或干预业务方面可以获得什么机会?
l企业的产品或服务在客户环境中有什么访问权限?
l在多大程度上可以控制或干预业务?
l企业在哪里经营?
l公司总部在哪里?
l谁拥有该企业的控股权?
l董事会成员和主要员工的国籍是什么?
l董事会成员和关键员工与他们所在国家的政府有什么联系?
安全措施不当造成的风险
l企业是否表现出良好的网络安全实践?
n企业是否遵循自己系统的网络安全标准?
n企业是否承诺为其产品和服务提供安全的设计实践?
n企业是否使用安全编码实践?
n企业是否默认提供安全的产品和服务?
n企业是否承诺维护其产品和服务的安全性?
n企业是否有漏洞披露政策?
l企业是否保护自己的网络供应链?
n企业是否确定了所有第三方及其在交付产品和服务中的作用?
n企业是否积极管理自己网络供应链中的风险?
l企业如何管理员工?
n企业在雇用个人之前是否对其进行背景调查?
n企业是否有检测恶意内部人员的程序?
l企业如何处理网络安全事件?
n企业或其产品或服务之前是否受到过损害?
n是否有关于企业处理网络安全事件的负面报道?
缺乏透明度带来的风险
l是否支持和鼓励渗透测试?
n是否可以对企业的产品和服务进行渗透测试?
n企业是否会分享之前根据网络安全标准进行的任何评估的结果?
l合同是否明确涉及网络安全风险?
n合同中是否可以规定网络安全要求?
n合同中是否包括强制性网络安全事件报告?
n合同中是否包括审计合同网络安全要求的权利?
l是否保证交付正品?
n能否保证产品的交付路径?
n如果产品来自海外,企业是否为购买者提供匿名服务?
n是否采取措施协助检测假冒产品?
n公开市场上是否存在该企业产品的假冒版本?
访问权限和特权带来的风险
l产品和服务使用的访问权限和特权是否合理?
n产品和服务对系统和数据的访问程度如何?
n产品和服务是否以特权访问方式运行?
n产品和服务是否最大限度地减少了不必要的特权?
n产品和服务是否需要持久访问互联网?
l企业持续获得产品和服务是否合理?
n企业是否需要持久访问其产品或客户的系统或数据?
n系统或数据是否会从低风险国家以外的任何地方访问?
n数据是否会存储在低风险国家以外的任何地方?
n使用了哪些安全措施来保护任何形式的持久访问?
不良商业行为造成的风险
l企业在多大程度上符合道德和法律?
n是否有任何证据表明该企业的产品被用来促进侵犯人权?
n是否有任何证据表明董事会成员或关键员工有不道德、腐败或犯罪活动?
n是否有任何证据表明该企业参与或接受知识产权盗窃?
n是否有任何证据表明该企业生产假冒产品?
l企业或其运营在多大程度上存在国家安全问题?
n由于与敌对的外国情报机构建立了密切的工作关系,该业务是否被评估为国家安全风险?
n该企业的产品或服务是否因隐私或安全问题而被其他国家禁止?
更多信息
《信息安全手册》是一个网络安全框架,组织可以应用它来保护其系统和数据免受网络威胁。《缓解网络安全事件战略》中的建议及其“基本八项”补充了这一框架。
有关网络供应链风险管理的更多信息,请参阅出版物《网络供应链危机管理》。
原文始发于微信公众号(老烦的草根安全观):识别网络供应链风险
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论