5 種方法，教你如何防禦供應鏈網路攻擊

偷工減料時有發生，在高風險、高速的工作中更是如此。但是，如果員工足夠誠實地承認，當他們將易受攻擊的程式碼上線時，我們可以將一系列已損壞的產品組合在一起。Osterman Research 的一項新研究發現了一個令人擔憂的趨勢——81% 的開發人員承認故意推送易受攻擊的程式碼。這使得威脅行為者更容易發起網路攻擊。

但我們提到這一點並不是為了消極。相反，這是企業和機構向內看的一個很好的提示。減少供應鏈脆弱性始於建立正確的公司文化。開發人員應該安全地舉起有關易受攻擊的程式碼的標誌，即使這意味著可能會錯過最後期限。否則，開發人員可能會保持沉默並增加程式碼的風險。如果不瞭解可能存在的漏洞的全貌以及對事件響應的影響，僱主就無法做出基於風險的決策。這始於一種將網路安全內建於結構中並且是每個人的首要任務的文化。

改變公司文化如何防止網路攻擊

然而，一個人無法解決問題。減少供應鏈網路攻擊需要團隊合作——確定優先事項的商業領袖、網路安全專家與開發人員和開發人員密切合作，將安全性融入到他們的程式碼中。等到您已經成為供應鏈攻擊的受害者或漏洞暴露您的資料時為時已晚。

以下是開始主動降低供應鏈攻擊風險的五個關鍵：

通知開發人員有關網路攻擊的資訊

對於供應鏈攻擊，開發人員是第一線。您可能會想嘗試透過一年一度的課程或更頻繁的講座來涵蓋所有基礎知識。然而，真正最有效的是開發人員持續更新有關新網路攻擊和最佳實踐的過程。透過使用微培訓，例如文字培訓或短影片，開發人員既可以獲得他們需要的課程，也可以提高他們的意識。

監控開源專案

《2020 年軟體供應鏈狀況報告》發現，在 2019 年至 2020 年間，針對開原始碼的網路攻擊增加了 430%。透過使用對手模擬參與，組織可以直接瞭解他們的軟體在攻擊期間的表現如何。開發人員還可以透過提高庫、包和依賴項的可見性和安全性來減少依賴項混淆問題，從而降低開源開發帶來的風險。

零信任

由於移動部分——資料、產品、整合，零信任方法對於降低供應鏈網路攻擊風險至關重要。假設任何裝置、使用者或資料都不安全，除非另有證明。這樣，您通常可以減少和消除可能損害供應鏈的威脅。

內建資料保護

供應鏈網路攻擊的一個關鍵漏洞是應用程式中的敏感資料，這些資料必須雙向流動。此外，請確保您遵守程式碼中的所有資料隱私和保護法律。開發人員應該在他們的應用程式中構建最新的加密技術。他們還應該對供應鏈使用數字簽名、會話中斷和多因素身份驗證。

關注第三方風險

供應鏈的本質是組織和應用程式協同工作以進行交付。這可能是透過物理產品或軟體安全。但是，每個新連線都意味著更多的高風險端點。請務必仔細檢查所有整合和風險。畢竟，你無法保護你不知道的東西。下一步是與供應商和合作夥伴合作，以確保所有各方都遵循網路安全最佳實踐並提前應對風險。

在不久的將來，供應鏈攻擊不太可能消退。透過在您的應用程式和文化中構建對此類破壞性網路攻擊的彈性，您可以降低風險。