国产精品人-国产精品人成人免-国产精品人成在线-国产精品人成在线播放-国产精品人成在线播放新网站-国产精品人成在线二区

行業(yè)新聞

您當前的位置:首頁 > 新聞資訊 > 行業(yè)新聞

2019年的網(wǎng)絡(luò)安全和隱私預測之供應鏈安全

發(fā)布源:深圳維創(chuàng)信息技術(shù)發(fā)布時間:2020-09-28 瀏覽次數(shù):

據(jù)LAW360(美國一個基于訂閱的法律新聞服務)給出的2019年的網(wǎng)絡(luò)安全和隱私預測:1:網(wǎng)絡(luò)釣魚和民族國家黑客將成為焦點2:供應商安全威脅將加大3:各州將繼續(xù)成為“民主實驗室”4:國際數(shù)據(jù)傳輸格局將變得更加復雜5:物聯(lián)網(wǎng)、加密貨幣將獲得更多的監(jiān)管利益其中第二條就是供應商安全威脅將加大,關(guān)于供應鏈安全,我們曾不止一次談到,供應鏈安全在企業(yè)安全框架中至關(guān)重要,如若做不好,可能會使供應商、企業(yè)深陷泥潭。

本文闡述了供應鏈的安全問題,如訪問控制不足、補丁管理不充分等問題,這些問題可能導致企業(yè)存在數(shù)據(jù)泄露風險,分析了供應鏈對數(shù)據(jù)安全保護6個方面的安全威脅。

不安全的身份管理和訪問控制攻擊者入侵目標網(wǎng)絡(luò)的最常見方式之一是竊取和濫用第三方訪問憑證。

由于各種原因,供應商、承包商、技術(shù)供應商和其他公司經(jīng)常需要直接訪問您的系統(tǒng)。

管理不善的訪問特權(quán)使攻擊者能夠通過第三方帳戶訪問您的網(wǎng)絡(luò),并嘗試跳轉(zhuǎn)到更多的系統(tǒng)和網(wǎng)絡(luò)。

多年來,許多組織也同樣遭遇到跨站攻擊。

Lockpath的行業(yè)解決方案副總裁Sam Abadir說:“攻擊者可以通過第三方更容易地利用過度擴展的憑證。

”第三方通常不太關(guān)注釣魚和社會工程攻擊的安全培訓,這使它們相對容易成為被竊取憑證的目標。

Abadir說:“與我們合作的公司開始意識到身份管理的風險,因為它涉及到與第三方的接觸,而這往往被忽視。

”脆弱的業(yè)務連續(xù)性和災難恢復實踐通常情況下,組織認為他們的供應商已經(jīng)準備好快速從數(shù)據(jù)泄露和其他安全事件中恢復,然后發(fā)現(xiàn)安全問題。

CynergisTek的首席執(zhí)行官麥克米倫(Mac McMillan)說,在安全事件發(fā)生時,第三方的災難恢復與應急響應能力至關(guān)重要。

供應商或其他第三方的準備不足會影響您執(zhí)行正常業(yè)務功能的能力。

供應商環(huán)境中可能存在供應商容易受到干擾、數(shù)據(jù)和服務無法使用等問題,McMillan說:“客戶依賴于他們的業(yè)務系統(tǒng),因此對于關(guān)鍵業(yè)務系統(tǒng)、服務或數(shù)據(jù)的破壞將導致其遭受勒索攻擊。

”滯后的安全事件通報過去幾年中,相關(guān)法規(guī)對于信息安全事件通報的及時性、有效性變得越來越嚴格。

例如新出臺的GDPR對于延遲披露安全事件的組織制定了嚴厲的懲罰措施。

因此,供應鏈上的第三方供應商在披露涉及客戶數(shù)據(jù)和系統(tǒng)安全事件時,任何滯后的事件通報都會對你的組織產(chǎn)生直接影響。

來自CynergisTek的McMillan說:客戶在選擇有限或時間緊迫的情況下往往不能充分了解事件,當安全事件發(fā)生時可能導致比預期更嚴重的后果。

系統(tǒng)配置錯誤安全供應商UpGuard的分析師丹奧沙利文(Dan O'Sulpvan)表示,配置不當?shù)牡谌较到y(tǒng)是一個主要風險。

當業(yè)務合作伙伴或其他第三方將敏感數(shù)據(jù)存儲在不正確的IT系統(tǒng)上時,可能會發(fā)生糟糕的事情,會對相關(guān)企業(yè)造成雙重災難。

“雖然系統(tǒng)的漏洞對企業(yè)而言沒有可見性或控制權(quán),但是當他們與供應商共享的敏感信息因為系統(tǒng)的漏洞暴露出來時,他們將承受后果,”他舉了一個例子:最近一家工程公司將數(shù)據(jù)放在一臺可以通過互聯(lián)網(wǎng)公開訪問的服務器上時,不小心暴露了屬于戴爾(Dell)和奧斯汀市(Austin)等客戶的敏感數(shù)據(jù)。

O'Sulpvan指出,軍事承包商在去年年底暴露了一個包含高度敏感軍事數(shù)據(jù)的文件存儲庫。

漏洞管理措施不足美國三大個人信用評估機構(gòu)之一的Equifax未能妥善處理其軟件組件中已知漏洞,這可能是有史以來涉及敏感數(shù)據(jù)的最大漏洞之一。

如果您的第三方供應商沒有遵循安全的補丁管理實踐,您也會遇到同樣的問題。

O'Sulpvan說,由于流程錯誤和失敗而未經(jīng)檢查的漏洞表明看似簡單但解決了強大的第三方威脅,O'Sulpvan說。

“這種威脅向量令人沮喪的是,堅固耐用的[企業(yè)IT]實踐應該大大緩解這個問題,”他說。

“不幸的是,情況并非總是如此,其結(jié)果是一系列極具破壞性的數(shù)據(jù)泄露,這在很大程度上是可以預防的。

”O'Sulpvan說,由于流程錯誤和失誤而導致漏洞沒有被發(fā)現(xiàn),這看起來很容易解決,但卻導致第三方面臨巨大威脅。

他表示這種安全威脅在有成熟的安全實踐企業(yè)中應該很容易解決。

但不幸的是,情況并非總是如此,一些組織經(jīng)常遭遇了破壞性極大的數(shù)據(jù)泄漏事件,這些破壞本來是可以預防的。

第三方組件風險開源和第三方組件可以顯著加速軟件開發(fā)。

但是如果你不小心的話,第三方軟件工具也會在你的軟件中引入很多漏洞。

Media Trust首席執(zhí)行官克里斯奧爾森(Chris Olson)說,考慮到在一個組織中執(zhí)行軟件代碼的50%至75%(有時甚至95%)來自第三方供應商,脆弱組件帶來的風險尤其高。

Olson說:“最近幾起備受關(guān)注的攻擊事件表明,網(wǎng)站運營商需要對數(shù)據(jù)分析、數(shù)據(jù)管理、客戶識別、聊天和圖像庫平臺第三方提供商提高警惕。

”他指出,為了降低第三方組件風險,組織需要實施風險管理計劃,包括對第三方供應商持續(xù)的安全監(jiān)控與管理。


  • 上一篇:中小企業(yè)網(wǎng)絡(luò)安全十大建議
  • 下一篇:為云中的數(shù)據(jù)庫創(chuàng)建企業(yè)級安全性
  • Copyright © 2021 深圳市維創(chuàng)信息技術(shù)有限公司 版權(quán)所有

    粵ICP備2021016007號

    主站蜘蛛池模板: 肥熟女一区二区三肥熟女刘敏涛 | 永久免费看A片无码网站十九 | AV网站免费在线观看无码 | 久久99久久99精品免视看婷婷 | 国内精品国产成人三级 | 那里可以看日B视频 | 91精品久久香蕉国产线看观看 | 日本乱伦视频一区二区三区 | 午夜大片网| 欧美gay男生露j自慰网站 | 成人无码一区 | 黄色一级片网站 | 热久久免费无码 | 精品国产 白哲 | 粉嫩AV一区二区三区免费播放 | 你懂的视频网站 | 亚洲一成人影视 | 久久久精品人妻一区二区三区蜜芽 | 日本午夜乱伦色 | 日韩精品无码一区二区三区, | 岛国线上免费观看 | 夜啪啪网站 | 天天操夜夜干 | 国产精品乱码一区二区三区 | 性综合网| 亚洲午夜精品在线视频 | 成人做爰黄AA片免费看三区 | 免费av动漫无毒下载网站 | 亚洲AV网站在线观看播放 | 熟妇人妻系列AI无码专区有真希 | 国产乱仑| 无码少妇一二三区免费在线观看 | 无码免费TV在线视频 | 国产麻豆精品成人毛片 | 国产精品区一区二区三区 | 久久久精品无码 | 久久骚妇 | 久久久久久久久久久少妇性高潮 | 天天亚洲插人人 | 粉嫩av亚洲一区二区图片 | av无码在线播放 |