企业如何降低技术供应商带来的网络安全风险 - 《华尔街日报》

随着对技术供应商依赖的加深，网络安全风险也随之上升。插图：格伦·哈维对许多公司而言，迫在眉睫的网络安全威胁来自他们为日常运营聘请的公司：他们的技术供应商。

大多数公司使用技术供应商来完成一系列关键功能——例如在云端托管信息；组织信息和数据；会议室软件；以及支付软件和其他与客户和员工互动的工具。

但随着他们对技术供应商的依赖增加，风险也随之增加，因为供应商会接入公司系统，双方之间会交换信息。通过利用供应商系统中的漏洞，攻击者可以访问使用这些系统的公司。

以下是网络安全专家提出的五种方法，公司可以用来防范源自供应商的网络攻击。

1. 在雇佣供应商时建立严格的审查流程

网络安全公司Code42 Software Inc.的首席信息官兼首席信息安全官杰迪·汉森表示，由于供应商的网络安全方法在很大程度上不受客户控制，因此审查供应商以确保他们有防范威胁的流程至关重要。

她说，供应商审查和问卷调查可以深入了解供应商的威胁缓解工作。对于技术供应商，她建议查看供应商是否使用所谓的道德黑客程序来确保系统持续测试漏洞。 

在完成独立的供应商评估后，企业还可以聘请第三方公司对供应商的安全基础设施进行详细审查。国际数据公司研究副总裁克雷格·罗宾逊表示，这类审查很有帮助，因为供应商可能更愿意向第三方评估者而非其生态系统中的合作伙伴公司开放信息。

罗宾逊先生指出：“首席信息官和安全主管的基因里就刻着不愿过多透露其网络安全计划。对他们来说，向定期开展此类工作的外部机构开放信息会更容易。”

2. 在供应商协议中明确预期，包括数据共享方式

企业和供应商应就双方系统如何协同工作达成一致，包括信息的访问和共享机制。

例如，供应商可能因技术支持等需求访问企业数据，或执行工资管理等常规工作。网络安全评估公司Schellman & Co.首席执行官阿瓦尼·德赛举例说，工资供应商"会将所有数据返回到总账系统，以便企业更新财务数据"。她建议企业选择能对传输和存储中的敏感数据实施加密保护的供应商。

3. 聘请内部评估员定期向董事汇报供应商网络安全计划及漏洞

汉森女士表示，这些评估员可以负责供应商入驻，并持续监控其安全协议和问题。

汉森女士表示，董事会需要全面了解供应商网络安全计划的整体情况，并希望确保有专职人员负责监控该计划。

4. 严格管控供应商对公司数据的访问权限

汉森女士指出，供应商应遵循最小权限原则访问公司系统，即承包商仅能访问其工作必需的关键系统。双重身份验证是基本要求。

国际数据公司安全与信任研究部集团副总裁弗兰克·迪克森表示，尽管企业可能擅长授予访问权限，但许多企业忽视了需要为离职的公司和供应商员工关闭系统访问权限。他指出，对于离职的供应商员工，由于供应商系统的数量和复杂性，企业可能难以手动撤销访问权限。由于缺乏像终止雇佣这样的触发事件来切断访问，这个问题在供应商员工中更为普遍。但他表示，技术可以帮助实现这一流程的自动化。

德赛女士补充说，在众多访问公司网络的供应商系统中，每个系统都应设置隔离措施，防止攻击者轻易在系统间横向移动。她表示，这可以通过额外的安全控制和防火墙将供应商系统与主网络隔离来实现。

5. 赋予首席信息安全官实权并将安全专业知识引入董事会

实施供应商安全计划的一个主要障碍可能是公司内部的政治因素。在许多企业中，网络安全是首席信息安全官的职责，但此人在高管团队中的影响力往往有限。

“总体而言，首席信息安全官通常是组织中最没有实权的C级职位，“VMware安全业务部门的首席网络安全策略师里克·麦克尔罗伊表示。当高层管理人员被告知网络风险及将风险降至可接受水平所需的成本时，他说，首席信息安全官的建议往往得不到足够的资金支持。一些高层管理人员选择忽视这些发现。

企业也可以考虑将网络安全专业知识引入董事会，以更好地应对风险。

“需要将更多安全专业人士提升到董事会中。这种情况才刚刚开始发生，“麦克尔罗伊先生说。“在过去一年半的时间里，我们听说有很多人实际上能够理解风险语言，然后为每一个风险制定相应的计划。”

巴塔查里亚先生是费城的一位作家。可以通过[email protected]与他联系。

刊登于2023年2月16日的印刷版，标题为《企业可能与其最薄弱的技术供应商一样脆弱》。