企業如何降低技術供應商帶來的網絡安全風險 - 《華爾街日報》

隨着對技術供應商依賴的加深，網絡安全風險也隨之上升。插圖：格倫·哈維對許多公司而言，迫在眉睫的網絡安全威脅來自他們為日常運營聘請的公司：他們的技術供應商。

大多數公司使用技術供應商來完成一系列關鍵功能——例如在雲端託管信息；組織信息和數據；會議室軟件；以及支付軟件和其他與客户和員工互動的工具。

但隨着他們對技術供應商的依賴增加，風險也隨之增加，因為供應商會接入公司系統，雙方之間會交換信息。通過利用供應商系統中的漏洞，攻擊者可以訪問使用這些系統的公司。

以下是網絡安全專家提出的五種方法，公司可以用來防範源自供應商的網絡攻擊。

1. 在僱傭供應商時建立嚴格的審查流程

網絡安全公司Code42 Software Inc.的首席信息官兼首席信息安全官傑迪·漢森表示，由於供應商的網絡安全方法在很大程度上不受客户控制，因此審查供應商以確保他們有防範威脅的流程至關重要。

她説，供應商審查和問卷調查可以深入瞭解供應商的威脅緩解工作。對於技術供應商，她建議查看供應商是否使用所謂的道德黑客程序來確保系統持續測試漏洞。 

在完成獨立的供應商評估後，企業還可以聘請第三方公司對供應商的安全基礎設施進行詳細審查。國際數據公司研究副總裁克雷格·羅賓遜表示，這類審查很有幫助，因為供應商可能更願意向第三方評估者而非其生態系統中的合作伙伴公司開放信息。

羅賓遜先生指出：“首席信息官和安全主管的基因裏就刻着不願過多透露其網絡安全計劃。對他們來説，向定期開展此類工作的外部機構開放信息會更容易。”

2. 在供應商協議中明確預期，包括數據共享方式

企業和供應商應就雙方系統如何協同工作達成一致，包括信息的訪問和共享機制。

例如，供應商可能因技術支持等需求訪問企業數據，或執行工資管理等常規工作。網絡安全評估公司Schellman & Co.首席執行官阿瓦尼·德賽舉例説，工資供應商"會將所有數據返回到總賬系統，以便企業更新財務數據"。她建議企業選擇能對傳輸和存儲中的敏感數據實施加密保護的供應商。

3. 聘請內部評估員定期向董事彙報供應商網絡安全計劃及漏洞

漢森女士表示，這些評估員可以負責供應商入駐，並持續監控其安全協議和問題。

漢森女士表示，董事會需要全面瞭解供應商網絡安全計劃的整體情況，並希望確保有專職人員負責監控該計劃。

4. 嚴格管控供應商對公司數據的訪問權限

漢森女士指出，供應商應遵循最小權限原則訪問公司系統，即承包商僅能訪問其工作必需的關鍵系統。雙重身份驗證是基本要求。

國際數據公司安全與信任研究部集團副總裁弗蘭克·迪克森表示，儘管企業可能擅長授予訪問權限，但許多企業忽視了需要為離職的公司和供應商員工關閉系統訪問權限。他指出，對於離職的供應商員工，由於供應商系統的數量和複雜性，企業可能難以手動撤銷訪問權限。由於缺乏像終止僱傭這樣的觸發事件來切斷訪問，這個問題在供應商員工中更為普遍。但他表示，技術可以幫助實現這一流程的自動化。

德賽女士補充説，在眾多訪問公司網絡的供應商系統中，每個系統都應設置隔離措施，防止攻擊者輕易在系統間橫向移動。她表示，這可以通過額外的安全控制和防火牆將供應商系統與主網絡隔離來實現。

5. 賦予首席信息安全官實權並將安全專業知識引入董事會

實施供應商安全計劃的一個主要障礙可能是公司內部的政治因素。在許多企業中，網絡安全是首席信息安全官的職責，但此人在高管團隊中的影響力往往有限。

“總體而言，首席信息安全官通常是組織中最沒有實權的C級職位，“VMware安全業務部門的首席網絡安全策略師裏克·麥克爾羅伊表示。當高層管理人員被告知網絡風險及將風險降至可接受水平所需的成本時，他説，首席信息安全官的建議往往得不到足夠的資金支持。一些高層管理人員選擇忽視這些發現。

企業也可以考慮將網絡安全專業知識引入董事會，以更好地應對風險。

“需要將更多安全專業人士提升到董事會中。這種情況才剛剛開始發生，“麥克爾羅伊先生説。“在過去一年半的時間裏，我們聽説有很多人實際上能夠理解風險語言，然後為每一個風險制定相應的計劃。”

巴塔查里亞先生是費城的一位作家。可以通過[email protected]與他聯繫。

刊登於2023年2月16日的印刷版，標題為《企業可能與其最薄弱的技術供應商一樣脆弱》。