供應鏈管理與資訊安全威脅,
也是另一塊身份安全威脅有關的威脅趨勢,
顧名思義,供應鏈就是要以適當的價格、地點和時間提供客戶所需的東西,
包含所交付的產品或服務的完整性、資料的隱私性與相關交易的完整性,
因此資料外洩、勒索軟體攻擊以及來自內部人員或攻擊者的惡意活動,
都可能發生在供應鏈環節的任何層,
即使單一供應商或第三方供應商的安全事件,都可能影響整體的產業營運或風波。
跟供應鏈威脅相關的資安威脅與保護,
包含社交工程、釣魚郵件常見的攻擊手段,
透過偽冒合法的廠商進行信譽詐騙或交流詐騙等等。
也由於供應鏈生態系統中組織和第三方之間的聯繫和相互依賴性高,
組織需要更多擴展對供應商風險管理的作法,
以強化關鍵資產在違規、系統關閉或資料外洩時對業務營運造成的潛在損害。
而在供應鏈生態系當中,直接威脅的針對資料的控管,
因為現代企業組織多數都採用使用者和角色的存取工具,
來確保與策略合作夥伴之間的安全可靠資訊交換,
也因此身分存取管理對於在廣泛的供應鏈系統共享專有和敏感資料,
以及能夠發現和減輕系統漏洞帶來的的不當存取或資料外洩風險,
就顯得至關重要。
第三方的風險管理已然是重點產業實行有年的管理作法,
從過往的典型管理發展到納入資安風險管理與合規要求等,
也由於營運共生的連結性的加強,對大型組織而言,
如何降低與管控合規違規、系統異常或資料外洩的營運損害,
成了像是金融、製造與醫療相關產業的核心。
常見的資訊安全管控作法以及關於供應鏈管理機制,
包含整體的安全策略評估、資料交換和存取許可管控等,
具體實施像是身份安全活動識別、認證強化與授權管控,
進而發現和減輕因漏洞導致的不當存取或影子身份(Shadow Identities)。
而除了身份安全角度的防護外,
適當的實施漏洞檢測與滲透測試活動,
也是主動發掘潛藏風險的手段與措施之一。
包含像是更改弱的資料庫配置設定、弱的密碼策略、
移除預設密碼以及實施端點和網路偵測與保護,
都可以在各方面進行風險降低,同時減少因資安事件導致的營運持續影響。
最後則是在具體的資安事件發生後,
一套預先定義的流程腳本可以協助組織與廠商間有SOP得以遵守,
經過實踐、測試並容易執行的資安回應計劃和補救措施,
可以在更短的時間因應發生的資安事件,
同時防止經濟損失擴大、聲譽受損以及合作夥伴和客戶流失可能。
透過定期的資安事件回應演練,也可以有效將資安風險與思維帶入組織當中。
供應鏈管理與威脅是複雜且參與者眾的情況,
不像單一組織公司部署具體資安工具後可相應解決,
而必須結合業務敏感性流程、營運流程、合規性要求與專業技術角度等,
打造兼合現代身份安全控管的供應鏈威脅管理機制。