由华人创办的网络资产管理初创公司JupiterOne首席信息安全官Sounil Yu前不久对供应链安全评论称,尽管企业的安全供应商可能会在旁说三道四,但没有办法全面解决我们的供应链安全挑战。
“这也是我们当今供应链安全状况所面临的情况。宣布供应链安全是一个问题表明存在解决方案,但供应链安全不是问题,因为没有简单的解决方案或按方抓药的解决办法。”Sounil Yu认为,供应链安全是一个复杂而混乱的困境,充其量,我们只能管理它。
当我们谈论解决基本的安全与合规问题,我们可以为其制定相应的解决方案。并引入问题工具检查并确认缺陷。但是,当涉及诸如供应链安全之类的困境时,做基础的简单建议或依靠冗长的问卷是完全不够的。我们的供应链风险不会在我们收到一份完整的问卷后就消失。
此前,网络安全公司Strike的首席研究官Cesar Cerrudo就曾指出,许多公司往往没有做足够的尽职调查来检查第三方供应商的安全。“有时候你只是被要求在一个复选框上签名,以表示你(合法)遵守规定,以及你会做安全和渗透测试等。但那实际上也只是合同表格上的一个复选框而已。”
Sounil Yu认为,困境通常源于几乎不可能解开的、相互依赖组件之间的复杂交互。同样,我们的供应链也紧密相连。企业要“修复”对外部供应商的依赖,同时保持市场竞争力,没有简单的方法。这种依赖会产生一个持续的风险因素或困境,只有在全新的技术或流程能够取代我们今天运营供应链的方式之前,才能对其进行管理。
在问题没有得到解决之前,Sounil Yu认为绘制供应商和关键资产之间的相互依赖关系有助于我们了解我们的风险并减轻潜在影响。“这种做法不会解决我们的供应链问题,但用图来思考可以让我们理解和管理这种风险。例如,软件物料清单(SBOM)不会让我们的软件供应链安全问题消失。然而,在了解我们的依赖关系和管理与我们所处困境相关的风险方面,它们非常有用。”
在网络安全中,我们经常在“完成”时很难知道或表达清楚。将我们的问题与困境分开会有所帮助。当涉及到问题时,当我们符合最新的最佳实践和标准时,我们就完成了。但是当涉及供应链安全这样的困境时,我们可能需要做好长期“铲马粪”的心理准备。
正如19世纪后期城市街道面临的马粪堆积问题(如伦敦的马粪危机),除了气味和雅观问题,它还间接毒化了供水并加速了疾病的传播。尽管如此,通过现有的技术和方法并不能完全解决马车粪便的加速积累问题,最终仍要交给铲子来解决。直到机动车辆的引入,城市才能解决这个困境。对应的是,在没有可行的解决办法之前,我们也只能对供应链安全执行这样的管理工作。
关于供应链安全方面的实例有很多,我们只举一个例子来说明问题。上个月,黑客组织Lapsus $对Okta(“单点登录”软件最大的供应商之一)的攻击就是一起典型的案例,有报道指出,黑客由一家为Okta提供外包服务的名为Sykes的小公司入手,在入侵Okta被发现之后,Lapsus $在社交媒体表示已入侵Okta两个月之久,并表示他们对Okta所服务的客户更感兴趣,并进一步晒出了市值超过300亿美元的网络安全企业Cloudflare的界面截图。
京公网安备 11010802033237号
