首页。 / 资源 / 新闻及趋势 / 澳门赌场官方软件 / 2021 / 无尽链条中的一环

无尽链条中的一环

亚历克斯霍尔顿
作者: 亚历克斯霍尔顿, Hold Security, LLC的创始人和首席信息安全官
发表日期: 4月5日2021

我们都是一个巨大的、相互交织的供应链的一部分. 供应链中的网络安全故障是一个一直存在的集体问题, 但由于最近发生的事件,其严重性再次暴露出来.

在21世纪初,建立一个供应链安全计划并不容易. 对潜在的服务合作伙伴进行例行分析可能会让人大开眼界,因为澳门赌场官方下载数据被委托给没有基本网络安全概念的人. 即使是主流产品也有严重的漏洞. 安全团队花费了大量资源,要求他们的产品和服务具有更好的安全性.

甚至像微软这样的公司的产品, 思科, 惠普(HP), 迈克菲, RSA, PeopleSoft和许多其他公司曾经没有安全感. 当这些事情被揭露时, 技术团队对由于网络安全问题而推迟项目的前景并不感到兴奋. 商业利益相关者非常愤怒,几乎没有考虑到网络安全问题.

在过去的二十年里, 事情变了,网络罪犯的想法也变了, 太. 网络罪犯不再像一群野蛮人猛攻中世纪城堡的大门. 他们的网络攻击更聪明、更隐蔽、更持久. 如果前门是锁着的,他们会试图通过其他门窗进入. 攻击者可能会想出巧妙的策略,通过员工和承包商进入澳门赌场官方下载内部, 但是今天, 他们更有可能通过受信任的供应商获得访问权限.

攻击者可能会想出巧妙的策略,通过员工和承包商进入澳门赌场官方下载内部, 但是今天, 他们更有可能通过受信任的供应商获得访问权限.

零信任是一种技术解决方案,并不总是转化为良好的商业模式. 我们要张开双臂迎接我们的客户,为他们提供我们的商品和服务, 不让他们接受经常侵入性的检查. 那么,妥协是什么呢? 我们需要做些什么才能在我们的供应链之间找到一个健康的平衡, 我们的客户和安全? 为了找到答案,考虑一些实用的建议:

  • 信任,但要核实-澳门赌场官方下载对供应商的网络安全要求必须比问卷调查或合规文件更彻底. 许多漏洞涉及供应商对其安全状态的虚假保证. 安全从业人员经常对“适当的文书工作”中对网络安全的考虑如此之少感到震惊.”
    你不需要走很远就能看到这样的例子. 例如, 考虑来自Accellion的某些数据传输设备的当前安全状态, 在2021年,它成为了几次入侵和赎金要求的门户.1 每个设备都标有“由Accellion保护”的标语, 但这并没有阻止黑客破坏它们. 从销售点一直到最近, 很可能是Accellion向客户保证其解决方案是“安全的”.”
  • 我们不能再依赖信任-那么,我们如何验证? 对市场上的每个产品和解决方案部署渗透测试人员(渗透测试人员)和红队? 也许对于您使用的某些产品和服务来说,这是一个不错的方法. 但是你很快就会耗尽资源, 除非您构建了专门为第三方安全性设计的程序. 您可能需要第三方测试他们的产品,但这是否有效? 他们中很少有人会做所有需要的事情, 大多数人只会做最低限度的要求.
  • 问正确的问题-例如,产品或服务是否经过网络安全测试? 这不是一个“是”或“不是”的问题——它归结为勤奋的程度. 例如,渗透测试(渗透测试)的范围是什么?? 测试对象:只测试产品还是整个环境(包括公司, 测试与质量保证(QA)? 你收到的是一份简单的执行摘要还是一份完整的调查结果清单? 你看的是第一轮调查结果,还是经过仔细筛选的问题列表, 3轮甚至4轮测试?
  • 你的信任必须由第三方来赢得-你, 作为他人的第三方, 必须做些什么来确保你的产品和服务是安全的. 网络安全计划的成熟度必须是可衡量和可见的. 这是你必须投入资源的事情, 而不是简单地执行最低限度的工作,因为您的澳门赌场官方下载认为这是必要的.

In 2021, 我们不再生活在一个组织唯一的错误就是未能解决网络安全问题的时代. 今天,任何这样的错误都会被暴露出来,这可能会对整个澳门赌场官方下载造成很大的伤害. 单个帐户、系统、应用程序或用户都可能导致重大漏洞. 在过去, an exposure may have existed for months before anyone noticed; today, 漏洞可能在暴露后几分钟内升级.

你必须在你的供应链中找到自己的位置,承担更大的责任. 这个责任不仅仅是你在链条上的一环, 但是对于上面和下面的链接. 投资于环境的网络安全可能会导致安全故障的发现, 但是,及时解决问题并确保它们受到持续监控,将进一步保护您在链中的链接和周围的每个人. 如果大多数人效仿, 然后我们的整个供应链将创造并达到新的网络安全标准.

尾注

1 摩尔,.; Stark, G., et. al.; “网络罪犯利用加速自由贸易协定进行数据盗窃和勒索,” FireEye博客2021年2月22日

亚历克斯霍尔顿, CISSP

是Hold security LLC的创始人兼首席信息安全官(CISO)吗. 在他的领导下, Hold Security在信息安全和威胁情报中起着举足轻重的作用, 并已成为该领域最知名的品牌之一. 霍尔顿因发现了许多影响Adobe系统等澳门赌场官方下载的引人注目的漏洞而受到赞誉, 摩根大通和雅虎. 他研究网络罪犯的思想和技术,并帮助建立更好的防御网络攻击.