确保供应链安全
学习目标
完成本单元后,您将能够:
- 描述组织在评估供应商网络风险水平方面的责任。
- 列出保护应用程序开发过程所需的关键技能。
- 描述零信任安全方法。
本模块是与世界经济论坛合作制作的。您也可以详细了解 Trailhead 上的合作伙伴内容。
评估供应商的网络风险
在本学习路径的第一个模块网络安全风险管理中,您学习了如何像商业领袖一样思考,以及如何培养内部和外部合作伙伴关系。您还了解了强大的网络卫生实践、实施强大的身份验证和防止网络钓鱼。在本模块中,您将学习 WEF 指南的其余五个原则,从确保供应链安全开始。
第三方风险管理是一个让很多首席信息安全官 (CISO) 夜不能寐的问题。最近一项关于全球网络风险感知的调查发现,近 50% 的公司未能评估其硬件和软件供应商的网络风险水平。作为领导者,最好保持最新的数据清单,以了解在什么情况下与哪些实体共享了哪些数据。您可以采取以下几步来降低敏感信息泄露的风险:
- 对供应商的背景进行尽职调查。包括规定对第三方员工进行安全检查
- 根据需要限制第三方访问。仅共享第三方履行其职能所需的信息,并定期审查信息共享协议。
- 以合同的形式将供应商与安全策略联系起来。数据共享协议应明确说明供应商必须遵守的政策以及不遵守的后果。
- 根据第三方关系的关键性和风险,制定审核和审查的频率。
确保软件开发生命周期安全 (SDLC)
组织 SDLC 的组成部分是供应链的一个关键方面。为了保护 SDLC,精明的安全团队让开发人员从一开始就编写安全代码,在项目和产品开发的整个生命周期中践行通过设计保证安全性。您可以在 Trailhead 模块应用程序安全工程师职责中了解有关此方法的更多信息。除了确保开发生命周期的安全,精明的网络安全领导者还考虑如何保护他们的数据,无论数据流向何处,这一概念被称为零信任安全方法。
实施安全零信任方法
过去,组织通常部署基于外围的安全方法,将组织的网络视为可信区域,将防火墙和防病毒保护等主要安全防御置于边缘。如今,网络安全领导者认识到需要采取零信任的方法,不能假设组织在自己“安全”的公司网络范围内就是安全的。零信任方法对数据资产本身进行控制。您可以在 Trailhead 模块网络安全规划中了解有关此方法的更多信息。
总结
在本单元中,您了解了无论数据存储在何处,组织应如何保护敏感数据。组织通过评估和审计第三方关系、确保 SDLC 的安全,以及采用网络安全零信任方法来实现这一目标。接下来,我们来介绍组织如何预防、跟踪和应对网络威胁。
