偷工减料时有发生,在高风险、高速的工作中更是如此。但是,如果员工足够诚实地承认,当他们将易受攻击的代码上线时,我们可以将一系列已损坏的产品组合在一起。Osterman Research 的一项新研究发现了一个令人担忧的趋势——81% 的开发人员承认故意推送易受攻击的代码。这使得威胁行为者更容易发起网络攻击。
但我们提到这一点并不是为了消极。相反,这是企业和机构向内看的一个很好的提示。减少供应链脆弱性始于创建正确的公司文化。开发人员应该安全地举起有关易受攻击的代码的标志,即使这意味着可能会错过最后期限。否则,开发人员可能会保持沉默并增加代码的风险。如果不了解可能存在的漏洞的全貌以及对事件响应的影响,雇主就无法做出基于风险的决策。这始于一种将网络安全内置于结构中并且是每个人的首要任务的文化。
改变公司文化如何防止网络攻击
然而,一个人无法解决问题。减少供应链网络攻击需要团队合作——确定优先事项的商业领袖、网络安全专家与开发人员和开发人员密切合作,将安全性融入到他们的代码中。等到您已经成为供应链攻击的受害者或漏洞暴露您的数据时为时已晚。
以下是开始主动降低供应链攻击风险的五个关键:
通知开发人员有关网络攻击的信息
对于供应链攻击,开发人员是第一线。您可能会想尝试通过一年一度的课程或更频繁的讲座来涵盖所有基础知识。然而,真正最有效的是开发人员持续更新有关新网络攻击和最佳实践的过程。通过使用微培训,例如文本培训或短视频,开发人员既可以获得他们需要的课程,也可以提高他们的意识。
监控开源项目
《2020 年软件供应链状况报告》发现,在 2019 年至 2020 年间,针对开源代码的网络攻击增加了 430%。通过使用对手模拟参与,组织可以直接了解他们的软件在攻击期间的表现如何。开发人员还可以通过提高库、包和依赖项的可见性和安全性来减少依赖项混淆问题,从而降低开源开发带来的风险。
零信任
由于移动部分——数据、产品、集成,零信任方法对于降低供应链网络攻击风险至关重要。假设任何设备、用户或数据都不安全,除非另有证明。这样,您通常可以减少和消除可能损害供应链的威胁。
内置数据保护
供应链网络攻击的一个关键漏洞是应用程序中的敏感数据,这些数据必须双向流动。此外,请确保您遵守代码中的所有数据隐私和保护法律。开发人员应该在他们的应用程序中构建最新的加密技术。他们还应该对供应链使用数字签名、会话中断和多因素身份验证。
关注第三方风险
供应链的本质是组织和应用程序协同工作以进行交付。这可能是通过物理产品或软件安全。但是,每个新连接都意味着更多的高风险端点。请务必仔细检查所有集成和风险。毕竟,你无法保护你不知道的东西。下一步是与供应商和合作伙伴合作,以确保所有各方都遵循网络安全最佳实践并提前应对风险。
在不久的将来,供应链攻击不太可能消退。通过在您的应用程序和文化中构建对此类破坏性网络攻击的弹性,您可以降低风险。