“三位一体”构建供应链系统安全防护体系|大湾区金融安全专刊·安全村
2024-11-19 08:45:0 Author: mp.weixin.qq.com(查看原文) 阅读量:2 收藏

一、挑战与思路
随着企业数字化进程的不断推进,业务场景及需求不断增加,企业信息系统从传统自研逐渐衍变到如今的“混源”模式。外部标准化产品采购,定制化开发软件、开源组件的使用以及各种外部第三方信息服务组成了整个企业供应链信息系统的大框架。而供应链这条链路上的每一个环节都可能给企业带来安全威胁,造成企业安全的木桶效应。针对软件供应链系统安全的各种问题,我行从供应链通信安全、供应链产品安全、供应链服务安全三方面解析要素并落地相关措施,全面提升供应链系统安全防御水平。
二、具体措施
1、供应链通信安全
(1)从外到内:严防远程控制通道
企业外购产品众多,部分产品的运行与维护依靠外部人员支持,有可能私自开放了一些远控通道。在供应链攻击的大背景下,供应链厂商直连企业内网的网络通道是首要威胁。为了解决上述问题,我行主要实施以下举措:1)建立供应链系统运维方式统计表,规范化管理供应链系统的运维方式;2)定期梳理外连策略,严防远控通道,定期清理供应链系统相关的网络策略,包括外到内和内到外两个方向。
(2)从内到外:保障信息获取渠道的可信
第三方软件的更新一般需要访问互联网上的更新源,在这个过程中易受到投毒攻击。因此我行也针对性做出以下措施:1)在线更新场景,设有特定的第三方软件更新服务器,同时远程地址需要匹配行内可信更新源。2)离线更新场景,配置离线包安全检查策略,更新包需落地检测安全后再更新到软件应用上。
2、供应链产品安全
(1)引入前:安全准入+合同保障
安全准入:1)第三方产品或组件的引入需要对供应商进行能力评级,确保软件供应商安全可信,同时供应商需要提供软件测试及评审报告。2)开源软件需要满足可信版本要求,并且评估开源社区能力、开源软件适用性和安全性。
合同保障:供应商需在合同中阐述产品的安全性并承诺后续提供技术支持。针对使用过程中发现的安全漏洞,及时完成漏洞修复。通过在合同中的声明,为后续产品的安全提供保障。
(2)引入后:资产管理+安全管控+风险监测
资产管理:对企业内所有软件供应链相关的硬件、软件和数据进行盘点,建立完整的资产清单。将各类资产分门别类,汇总所有供应链系统的资产图谱。
安全管控:定期对供应链系统进行安全扫描和风险评估,针对性开展红蓝对抗活动。定制化内容的开发流程遵循行内SDLC,保障产品内容的安全开发。对开源软件进行针对性的管控,通过部署SCA工具,与行内流水线对接,进行自动化的软件成分识别和基于软件黑名单库的自动化阻断。
风险监测:除了采用传统的手段外,我行在供应链系统中加入了实时应用自我保护技术(RASP),对各类高风险接口进行集中监控,确保在恶意请求出现时立即启动自动阻断机制。同时行内针对供应链系统相关访问习惯自研检测模型,通过分析多种数据源确保检测模型能够全面涵盖各类威胁场景。
3、供应链服务安全
(1)服务前:安全准入+合同保障
供应商服务引入前的安全措施与供应商安全产品引入保持一致,严格按照安全准入要求保障入网产品的安全与合规。合同保障方面,供应链服务商需要明确服务内容、服务质量与服务安全性承诺。
(2)服务中:安全检查+应急处置
安全检查:针对供应链服务的多样化,行内实行问卷调研、定期安全检查、现场检查的差异化检测手段。
应急处置:针对服务内容中的各类应急场景制定应急处置机制,定期演练,确保机制可行性与实用性,根据演练结果持续进行优化。
(3)服务后:权限回收,数据清理
权限回收:第三方服务完成后,需要终止供应商对行内系统的所有权限。
数据清理:服务结束后,删除或销毁供应商端存储设备中的所有企业数据,并提供相应的证明文件,迁移行内安全存储。另外审查与第三方服务相关联的操作日志,最后对整个项目进行风险评估, 分析遗留问题并制定解决方案。
三、成效与实践
通过上述各个环节的努力,我行在供应链通信、供应链产品、供应链服务三方面构建了一套多层次、全方位安全防护体系。在历次红蓝对抗场景中,能及时发现与定位供应链系统存在的安全风险,并在后续的应急处置中及时修复漏洞阻断攻击的深入,取得了较好的防护效果。
四、经验与帮助
我行的三位一体供应链安全防护体系,在落地实施过程中着重关注以下两点:1)资产管理的重要性。在供应链系统管理过程中包含各种策略梳理表、组件资产表、供应商信息登记表等录入需求,因此建立一个统一的资产管理系统尤为重要,会极大的提高资产发现、事件处置速度。2)管控手段的有效性验证。无论供应链产品还是服务,都要定期验证当前管控手段的有效性,包括管理流程的评审,威胁检测手段的有效性验证等,减少长时间运营后,管控手段的缺失与不足。
当企业建立以上供应链系统的安全防护体系后,看似庞大杂乱的供应链系统网将更加清晰,维护与运营更加有组织有规律。供应链系统的安全防护将不再繁琐,安全性会得到有效的提升。

关于 大湾区金融安全专刊

大湾区专刊现已发布第1辑和第2辑,集合了全国数十家金融和科技机构的网络安全工作经验总结,更邀请了大湾区港澳金融机构的安全专家分享独到见解。文章内容涉及防御体系、安全运营、数据安全、研发安全、业务安全、资产管理、攻防演练、前沿分析等主题方向,希望能为从业者提供网络安全防护方面的整体思路,向行业传播可持续金融创新和实践经验,为推动可持续金融生态发展汇聚智慧与力量。

关于 安全村

安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。

专刊获取方式

本次专刊的合作机构如下
赶紧关注他们
联系获取纸质版专刊吧!


文章来源: https://mp.weixin.qq.com/s?__biz=MzkyODM5NzQwNQ==&mid=2247496222&idx=1&sn=fdf0fdae03782a7625963e8bb1ebf2f1&chksm=c21bd32cf56c5a3a6432458ee3061f5ab1b30632264ef104e041a19b1805c524371ac0cfce1b&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh