陸英

偷工減料時(shí)有發(fā)生，在高風(fēng)險(xiǎn)、高速的工作中更是如此。但是，如果員工足夠誠實(shí)地承認(rèn)，當(dāng)他們將易受攻擊的代碼上線時(shí)，可以將一系列已損壞的產(chǎn)品組合在一起。Osterman Research的一項(xiàng)新研究發(fā)現(xiàn)了一個(gè)令人擔(dān)憂的趨勢———81%的開發(fā)人員承認(rèn)故意推送易受攻擊的代碼。這使得威脅行為者更容易發(fā)起網(wǎng)絡(luò)攻擊。

但我們提到這一點(diǎn)并不是為了消極對(duì)待。相反，這是企業(yè)和機(jī)構(gòu)向內(nèi)看的一個(gè)很好的提示。減少供應(yīng)鏈脆弱性始于創(chuàng)建正確的公司文化。開發(fā)人員應(yīng)該安全地利用有關(guān)易受攻擊的代碼標(biāo)志，即使這意味著可能會(huì)錯(cuò)過最后期限。否則，開發(fā)人員可能會(huì)保持沉默并增加代碼的風(fēng)險(xiǎn)。如果不了解可能存在的漏洞全貌以及對(duì)事件響應(yīng)的影響，雇主就無法做出基于風(fēng)險(xiǎn)的決策。這始于一種將網(wǎng)絡(luò)安全內(nèi)置于結(jié)構(gòu)中，并且作為每個(gè)人首要任務(wù)的文化。

然而，一個(gè)人無法解決問題。減少供應(yīng)鏈網(wǎng)絡(luò)攻擊需要團(tuán)隊(duì)合作———確定優(yōu)先事項(xiàng)的商業(yè)領(lǐng)袖、網(wǎng)絡(luò)安全專家與開發(fā)人員和開發(fā)人員密切合作，將安全性融入到他們的代碼中。等到已經(jīng)成為供應(yīng)鏈攻擊的受害者或漏洞暴露數(shù)據(jù)時(shí)，就為時(shí)已晚。以下是主動(dòng)降低供應(yīng)鏈攻擊風(fēng)險(xiǎn)的幾個(gè)關(guān)鍵。

通知開發(fā)人員有關(guān)網(wǎng)絡(luò)攻擊的信息

對(duì)于供應(yīng)鏈攻擊，開發(fā)人員是第一線。您可能會(huì)想嘗試通過一年一度的課程或更頻繁的講座來涵蓋所有基礎(chǔ)知識(shí)。然而，真正最有效的是開發(fā)人員持續(xù)更新有關(guān)新網(wǎng)絡(luò)攻擊和最佳實(shí)踐的過程。通過使用微培訓(xùn)，例如文本培訓(xùn)或短視頻，開發(fā)人員既可以獲得需要的課程，也可以提高他們的意識(shí)。

監(jiān)控開源項(xiàng)目

《2020年軟件供應(yīng)鏈狀況報(bào)告》發(fā)現(xiàn)，在2019-2020年間，針對(duì)開源代碼的網(wǎng)絡(luò)攻擊增加了430 %。通過使用對(duì)手模擬參與，組織可以直接了解軟件在攻擊期間的表現(xiàn)。開發(fā)人員還可以通過提高庫、包和依賴項(xiàng)的可見性和安全性來減少依賴項(xiàng)混淆問題，從而降低開源開發(fā)帶來的風(fēng)險(xiǎn)。

零信任

由于移動(dòng)部分———數(shù)據(jù)、產(chǎn)品、集成，零信任方法對(duì)于降低供應(yīng)鏈網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)至關(guān)重要，其假設(shè)任何設(shè)備、用戶或數(shù)據(jù)都不安全，除非另有證明。這樣通常可以減少或消除可能損害供應(yīng)鏈的威脅。