国产精品人-国产精品人成人免-国产精品人成在线-国产精品人成在线播放-国产精品人成在线播放新网站-国产精品人成在线二区

行業(yè)新聞

您當前的位置:首頁 > 新聞資訊 > 行業(yè)新聞

2019年的網(wǎng)絡(luò)安全和隱私預測之供應鏈安全

發(fā)布源:深圳維創(chuàng)信息技術(shù)發(fā)布時間:2020-09-28 瀏覽次數(shù):

據(jù)LAW360(美國一個基于訂閱的法律新聞服務)給出的2019年的網(wǎng)絡(luò)安全和隱私預測:1:網(wǎng)絡(luò)釣魚和民族國家黑客將成為焦點2:供應商安全威脅將加大3:各州將繼續(xù)成為“民主實驗室”4:國際數(shù)據(jù)傳輸格局將變得更加復雜5:物聯(lián)網(wǎng)、加密貨幣將獲得更多的監(jiān)管利益其中第二條就是供應商安全威脅將加大,關(guān)于供應鏈安全,我們曾不止一次談到,供應鏈安全在企業(yè)安全框架中至關(guān)重要,如若做不好,可能會使供應商、企業(yè)深陷泥潭。

本文闡述了供應鏈的安全問題,如訪問控制不足、補丁管理不充分等問題,這些問題可能導致企業(yè)存在數(shù)據(jù)泄露風險,分析了供應鏈對數(shù)據(jù)安全保護6個方面的安全威脅。

不安全的身份管理和訪問控制攻擊者入侵目標網(wǎng)絡(luò)的最常見方式之一是竊取和濫用第三方訪問憑證。

由于各種原因,供應商、承包商、技術(shù)供應商和其他公司經(jīng)常需要直接訪問您的系統(tǒng)。

管理不善的訪問特權(quán)使攻擊者能夠通過第三方帳戶訪問您的網(wǎng)絡(luò),并嘗試跳轉(zhuǎn)到更多的系統(tǒng)和網(wǎng)絡(luò)。

多年來,許多組織也同樣遭遇到跨站攻擊。

Lockpath的行業(yè)解決方案副總裁Sam Abadir說:“攻擊者可以通過第三方更容易地利用過度擴展的憑證。

”第三方通常不太關(guān)注釣魚和社會工程攻擊的安全培訓,這使它們相對容易成為被竊取憑證的目標。

Abadir說:“與我們合作的公司開始意識到身份管理的風險,因為它涉及到與第三方的接觸,而這往往被忽視。

”脆弱的業(yè)務連續(xù)性和災難恢復實踐通常情況下,組織認為他們的供應商已經(jīng)準備好快速從數(shù)據(jù)泄露和其他安全事件中恢復,然后發(fā)現(xiàn)安全問題。

CynergisTek的首席執(zhí)行官麥克米倫(Mac McMillan)說,在安全事件發(fā)生時,第三方的災難恢復與應急響應能力至關(guān)重要。

供應商或其他第三方的準備不足會影響您執(zhí)行正常業(yè)務功能的能力。

供應商環(huán)境中可能存在供應商容易受到干擾、數(shù)據(jù)和服務無法使用等問題,McMillan說:“客戶依賴于他們的業(yè)務系統(tǒng),因此對于關(guān)鍵業(yè)務系統(tǒng)、服務或數(shù)據(jù)的破壞將導致其遭受勒索攻擊。

”滯后的安全事件通報過去幾年中,相關(guān)法規(guī)對于信息安全事件通報的及時性、有效性變得越來越嚴格。

例如新出臺的GDPR對于延遲披露安全事件的組織制定了嚴厲的懲罰措施。

因此,供應鏈上的第三方供應商在披露涉及客戶數(shù)據(jù)和系統(tǒng)安全事件時,任何滯后的事件通報都會對你的組織產(chǎn)生直接影響。

來自CynergisTek的McMillan說:客戶在選擇有限或時間緊迫的情況下往往不能充分了解事件,當安全事件發(fā)生時可能導致比預期更嚴重的后果。

系統(tǒng)配置錯誤安全供應商UpGuard的分析師丹奧沙利文(Dan O'Sulpvan)表示,配置不當?shù)牡谌较到y(tǒng)是一個主要風險。

當業(yè)務合作伙伴或其他第三方將敏感數(shù)據(jù)存儲在不正確的IT系統(tǒng)上時,可能會發(fā)生糟糕的事情,會對相關(guān)企業(yè)造成雙重災難。

“雖然系統(tǒng)的漏洞對企業(yè)而言沒有可見性或控制權(quán),但是當他們與供應商共享的敏感信息因為系統(tǒng)的漏洞暴露出來時,他們將承受后果,”他舉了一個例子:最近一家工程公司將數(shù)據(jù)放在一臺可以通過互聯(lián)網(wǎng)公開訪問的服務器上時,不小心暴露了屬于戴爾(Dell)和奧斯汀市(Austin)等客戶的敏感數(shù)據(jù)。

O'Sulpvan指出,軍事承包商在去年年底暴露了一個包含高度敏感軍事數(shù)據(jù)的文件存儲庫。

漏洞管理措施不足美國三大個人信用評估機構(gòu)之一的Equifax未能妥善處理其軟件組件中已知漏洞,這可能是有史以來涉及敏感數(shù)據(jù)的最大漏洞之一。

如果您的第三方供應商沒有遵循安全的補丁管理實踐,您也會遇到同樣的問題。

O'Sulpvan說,由于流程錯誤和失敗而未經(jīng)檢查的漏洞表明看似簡單但解決了強大的第三方威脅,O'Sulpvan說。

“這種威脅向量令人沮喪的是,堅固耐用的[企業(yè)IT]實踐應該大大緩解這個問題,”他說。

“不幸的是,情況并非總是如此,其結(jié)果是一系列極具破壞性的數(shù)據(jù)泄露,這在很大程度上是可以預防的。

”O'Sulpvan說,由于流程錯誤和失誤而導致漏洞沒有被發(fā)現(xiàn),這看起來很容易解決,但卻導致第三方面臨巨大威脅。

他表示這種安全威脅在有成熟的安全實踐企業(yè)中應該很容易解決。

但不幸的是,情況并非總是如此,一些組織經(jīng)常遭遇了破壞性極大的數(shù)據(jù)泄漏事件,這些破壞本來是可以預防的。

第三方組件風險開源和第三方組件可以顯著加速軟件開發(fā)。

但是如果你不小心的話,第三方軟件工具也會在你的軟件中引入很多漏洞。

Media Trust首席執(zhí)行官克里斯奧爾森(Chris Olson)說,考慮到在一個組織中執(zhí)行軟件代碼的50%至75%(有時甚至95%)來自第三方供應商,脆弱組件帶來的風險尤其高。

Olson說:“最近幾起備受關(guān)注的攻擊事件表明,網(wǎng)站運營商需要對數(shù)據(jù)分析、數(shù)據(jù)管理、客戶識別、聊天和圖像庫平臺第三方提供商提高警惕。

”他指出,為了降低第三方組件風險,組織需要實施風險管理計劃,包括對第三方供應商持續(xù)的安全監(jiān)控與管理。


  • 上一篇:中小企業(yè)網(wǎng)絡(luò)安全十大建議
  • 下一篇:為云中的數(shù)據(jù)庫創(chuàng)建企業(yè)級安全性
  • Copyright © 2021 深圳市維創(chuàng)信息技術(shù)有限公司 版權(quán)所有

    粵ICP備2021016007號

    主站蜘蛛池模板: 国产一区不卡 | 亚洲AVAV在线 | 国产精品 码一本A片 | 国产成人AV片免费观看 | 东京热男人的天堂 | 91玉足| 国产精品久久久久久久久KT | 91麻豆产精品 | 亚洲欧美精品日韩69av | 国产又粗又猛又爽又黄的小说软件 | 91人妻秘书 | 久久久Av无码 | 午夜免费 | 亚洲AV无码一区二区三区dv | 国产呻吟久久久久久久92 | 在线观看aV日韩 | 91swag国产精品 | 亚洲成人在线网络 | 国产 高潮 白浆 免费 | 男人激烈吮乳吃奶视频免费A片 | 亚洲三级AV免费看 | 欧亚专线欧洲无码 | 日韩av一网二网三网 | 少妇日B免费观看 | 无毒免费成人电影在线观看网址 | 免费黄色网址在线观看 | 无码人妻丰满熟妇啪啪欧美 | 国产三级网站 | 日韩午夜影院 | 成人AV影音 | 久久综合噜噜激激的五月天 | 日韩AV导航在线第一页 | 已经无痕在线亚洲国产 | 亚洲AV成人无码一二三区在线 | 免费91视频二区三区 | 高清现在播放av | 第一福利视频导航 | 男人吃奶摸下挵进去好爽A片男男 | 亚洲国产嫩草线路一 | 国产精品秘 麻豆入口29 | 一级黄色网址 |