• Trang chủ
  • Doanh nhân
  • Doanh nghiệp
  • Tài chính
  • Đầu tư bất động sản
  • Tiền điện tử

Subscribe to Updates

Get the latest creative news from FooBar about art, design and business.

What's Hot

Mua lại cổ phiếu: Tại sao các công ty mua lại cổ phiếu?

01/02/2023

Tài chính chuỗi cung ứng là gì và hoạt động như thế nào, ví dụ về tài chính chuỗi cung ứng

01/02/2023

Rủi ro tài chính so với rủi ro kinh doanh: Đâu là sự khác biệt?

01/02/2023
Facebook Twitter Instagram
Trending
  • Mua lại cổ phiếu: Tại sao các công ty mua lại cổ phiếu?
  • Tài chính chuỗi cung ứng là gì và hoạt động như thế nào, ví dụ về tài chính chuỗi cung ứng
  • Rủi ro tài chính so với rủi ro kinh doanh: Đâu là sự khác biệt?
  • Cấp tín dụng: Định nghĩa, Các loại khoản vay và Ví dụ
  • 2 cách hàng đầu để các doanh nghiệp huy động vốn
  • Tài chính có nghĩa là gì? Lịch sử, các loại và tầm quan trọng của nó được giải thích
  • 8 cổ phiếu được hưởng lợi từ các sự kiện thời tiết khắc nghiệt
  • Hiểu về tiền: Thuộc tính, loại và cách sử dụng của nó
Facebook Twitter Instagram YouTube
BlogKinhDoanh.net
  • Trang chủ
  • Doanh nhân
  • Doanh nghiệp
  • Tài chính
  • Đầu tư bất động sản
  • Tiền điện tử
BlogKinhDoanh.net
Home»Doanh nghiệp»3 chiến lược để đảm bảo chuỗi cung ứng kỹ thuật số của bạn
Doanh nghiệp

3 chiến lược để đảm bảo chuỗi cung ứng kỹ thuật số của bạn

Blog Kinh DoanhBy Blog Kinh Doanh25/10/2022Updated:25/10/2022Không có phản hồi11 Mins Read
Facebook Twitter Pinterest LinkedIn Tumblr Email Reddit VKontakte Telegram WhatsApp
3 chiến lược để đảm bảo chuỗi cung ứng kỹ thuật số của bạn - 3 chien luoc de dam bao chuoi cung ung ky 2cd96388 - Kinh doanh - chấp nhận bản vá tự động, CrowdStrike, đã lưu ý, Fortinet đã báo cáo, Hệ thống chấm điểm dự đoán khai thác, Kaseya, Lệnh điều hành của chính quyền Biden, linchpin, Một báo cáo của HP Bromium được tìm thấy, Một cuộc kiểm toán năm 2020 do Synopsys thực hiện, Một nghiên cứu của Verizon được tìm thấy, nhà quản lý, nói với Quốc hội, REvil, SolarWinds, Sonatype ước tính, Synopsys
Share
Facebook Twitter LinkedIn Pinterest Email Tumblr Reddit VKontakte Telegram WhatsApp
(blogkinhdoanh.net)

Ngày nay, hầu hết các sản phẩm phần mềm đều dựa vào hàng nghìn gói viết sẵn do các nhà cung cấp tạo ra hoặc từ các thư viện mã nguồn mở. Việc sử dụng phổ biến nhất trong số các thành phần chuỗi cung ứng phần mềm của bên thứ ba này là mục tiêu được đánh giá cao của bọn tội phạm mạng. Nếu những kẻ tấn công xâm nhập vào chúng, chúng có thể xâm nhập hàng nghìn hoặc thậm chí hàng triệu công ty trong các ngành công nghiệp và trên toàn thế giới. Tin tốt là các công ty không phải cảm thấy bất lực; họ có thể dựa vào những người khác bên ngoài công ty để khám phá các lỗ hổng. Các nhà lãnh đạo công ty và nhóm CNTT có thể thực hiện ba bước để ưu tiên và khắc phục các lỗ hổng và ngăn chặn các cuộc tấn công mạng chuỗi cung ứng.

Nội dung chính
  • Các nhà quản lý CNTT nên dựa nhiều hơn vào các công cụ tự động để sửa các lỗ hổng đơn giản
  • Các doanh nghiệp nên tiến hành phân tích chi phí – lợi ích để vá lỗ hổng
  • Yêu cầu các nhà cung cấp công nghệ quan trọng thực hiện “bản vá nóng”

Vào tháng 7, REvil, một băng nhóm tội phạm mạng của Nga, đã có thể đóng cửa hệ thống CNTT của 800 cửa hàng tạp hóa Thụy Điển, một vài trường học ở New Zealand, hai chính quyền thị trấn Maryland và khoảng một nghìn doanh nghiệp khác trên khắp thế giới. Những kẻ tấn công đã phát hiện ra rằng Kaseya, một phần mềm được các nhà thầu dịch vụ CNTT sử dụng để quản lý từ xa các mạng công ty, có nhiều lỗ hổng bảo mật mạng. Bằng cách tấn công Kaseya, REvil đã có được một cửa hậu vào hệ thống CNTT của nhiều tổ chức mà phần mềm hỗ trợ. Do đó Kaseya là một hướng tấn công nguy hiểm.

Bây giờ chúng ta nên chuyển sự chú ý của mình sang các dịch vụ và sản phẩm công nghệ linchpin, nếu bị xâm phạm, sẽ có những tác động sâu rộng tương tự. Ngày nay, hầu hết các sản phẩm phần mềm đều dựa vào hàng nghìn gói viết sẵn do các nhà cung cấp tạo ra hoặc được rút ra từ các thư viện mã nguồn mở. Việc sử dụng phổ biến nhất trong số các thành phần chuỗi cung ứng phần mềm của bên thứ ba này là mục tiêu được đánh giá cao của bọn tội phạm mạng. Và họ dễ bị tổn thương. Một cuộc kiểm toán năm 2020 do Synopsys thực hiện phát hiện ra rằng 49% cơ sở mã thương mại sử dụng các thành phần mã nguồn mở có các lỗ hổng rủi ro cao. Nếu những kẻ tấn công khai thác những lỗ hổng này, chúng có thể làm tổn hại hàng ngàn hoặc thậm chí hàng triệu công ty trong các ngành công nghiệp và trên toàn thế giới.

Đây không phải là suy đoán vu vơ. Các tác nhân đe dọa tinh vi đã nhắm mục tiêu đến các thành phần chuỗi cung ứng được sử dụng rộng rãi – và được bảo mật kém. SVR, một cơ quan tình báo của Nga, đã cấy mã độc vào một bản cập nhật phần mềm của SolarWinds , một phần mềm quản lý đám mây. SVR cung cấp một hướng tấn công tiềm tàng vào 18.000 doanh nghiệp và cơ quan chính phủ đã cài đặt bản cập nhật.

Người Nga không đơn độc. Paul Nakasone, chỉ huy Bộ Chỉ huy Không gian mạng Hoa Kỳ, nói với Quốc hội rằng các quốc gia đang tăng cường “các phương pháp hay nhất” để nhắm vào các lỗ hổng của chuỗi cung ứng. Công ty bảo mật Sonatype ước tính sự gia tăng hơn 400% các cuộc tấn công chuỗi cung ứng từ tháng 7 năm 2019 đến tháng 3 năm 2020 so với 4 năm trước đó cộng lại.

Một khi kẻ thù đột nhập vào mạng lưới của tổ chức, chúng có thể gây ra thiệt hại nghiêm trọng về tài chính và danh tiếng. Nhiều doanh nghiệp sẽ không tồn tại được sau thời kỳ thất bại. Một nghiên cứu của Verizon được tìm thấy rằng 60% doanh nghiệp vừa và nhỏ sẽ ngừng kinh doanh trong vòng sáu tháng sau một cuộc tấn công mạng. Do đó, các công ty có trách nhiệm giảm thiểu rủi ro của họ.

Để hiểu rõ hơn về mối đe dọa và cách nó hiện đang được quản lý, chúng tôi đã thực hiện các cuộc phỏng vấn bán cấu trúc với giám đốc điều hành của các doanh nghiệp vừa và nhỏ và với những người trong chiến lược khắc phục chuỗi cung ứng: điều phối viên về tính dễ bị tổn thương tại CERT / CC, một tổ chức do chính phủ tài trợ tổ chức được giao nhiệm vụ sửa các lỗi an ninh mạng nghiêm trọng và các giám đốc an ninh của các công ty công nghệ.

Nhiều nhà lãnh đạo công ty mà chúng tôi đã nói chuyện rất quan trọng về thách thức. Một giám đốc điều hành của một công ty vốn hóa nhỏ thú nhận rằng ông không nghĩ rằng doanh nghiệp của mình có thể đảm bảo chuỗi cung ứng của mình. Phản ứng bản năng này có ý nghĩa. Báo cáo của Synopsys cho thấy rằng các cơ sở mã thương mại sử dụng trung bình 445 thành phần mã nguồn mở. Rất ít tổ chức có chuyên môn – và hầu như không có tổ chức nào có băng thông – để tìm kiếm các lỗ hổng bảo mật mạng của các nhà cung cấp bên thứ ba và thứ tư đa dạng của họ.

Nhưng tin tốt là các công ty không phải cảm thấy bất lực; họ có thể dựa vào những người khác bên ngoài công ty để khám phá các lỗ hổng. Trong vài năm qua, hệ sinh thái ngày càng phát triển của các nhà nghiên cứu bảo mật và các cơ quan chia sẻ thông tin đã xác định được hàng nghìn lỗ hổng nghiêm trọng trước khi chúng bị khai thác bởi những kẻ xấu. Các doanh nghiệp chỉ cần cập nhật thông tin và phản ứng với tinh thần khẩn trương đối với các mối đe dọa có thể ảnh hưởng đến họ.

Các doanh nghiệp sẽ sớm có quyền truy cập vào nhiều công cụ hơn nữa giúp họ nhanh chóng hiểu được liệu họ có thể bị xâm phạm bởi một lỗ hổng hay không. Hiện tại, một số nhà cung cấp phát hành hóa đơn vật liệu phần mềm (SBOM), trong đó liệt kê các thành phần chuỗi cung ứng được nhúng trong cơ sở mã sản phẩm của họ. Nhưng gần đây Lệnh điều hành của chính quyền Biden yêu cầu tất cả các nhà cung cấp công nghệ có hợp đồng với chính phủ liên bang (bao gồm các nhà sản xuất phần mềm phổ biến nhất) phải phát hành công khai các SBOM. Điều này sẽ mang lại sự minh bạch cần thiết cho chuỗi cung ứng phần mềm.

Thay vì tìm lỗi, doanh nghiệp cần nhanh chóng ưu tiên và vá các lỗ hổng. Thật không may một báo cáo của HP-Bromium được tìm thấy rằng nhiều công ty đã thất bại trong việc khắc phục các lỗ hổng lâu đời. Các doanh nghiệp không thể sửa chữa các lỗ hổng bảo mật mà bản vá tồn tại có nguy cơ rất cao. Như Dmitri Alperovitch, đồng sáng lập công ty ứng phó sự cố mạng hàng đầu CrowdStrike, đã lưu ý , nhiều nhóm tội phạm thiết kế ngược các bản vá để phát hiện ra các lỗ hổng và khai thác các tổ chức không an toàn.

Tin tốt là vấn đề này không phải là không thể vượt qua, ngay cả đối với các công ty nhỏ hơn. Các nhà lãnh đạo công ty và nhóm CNTT có thể thực hiện ba bước để ưu tiên và khắc phục các lỗ hổng và ngăn chặn các cuộc tấn công mạng chuỗi cung ứng.

Các nhà quản lý CNTT nên dựa nhiều hơn vào các công cụ tự động để sửa các lỗ hổng đơn giản

Kho lưu trữ mã trực tuyến GitHub đã phát triển “mã robot tự động” để xác định và sửa chữa các lỗ hổng đơn giản của người dùng chỉ bằng một cú nhấp chuột. Với việc SBOM trở nên phổ biến, các dịch vụ tương tự sẽ được phát triển.

Tuy nhiên, rất ít doanh nghiệp đã triển khai các công cụ mới này vào quy trình công việc CNTT của họ. Chỉ 42 trong số 1.896 người dùng GitHub được liên hệ về một lỗ hổng bảo mật chấp nhận bản vá tự động . Điều này phải thay đổi.

Các doanh nghiệp nên tiến hành phân tích chi phí – lợi ích để vá lỗ hổng

Rất nhiều lỗ hổng sẽ không dễ sửa chữa như vậy. Nhiều sản phẩm chỉ có thể được vá khi hệ thống của họ ngoại tuyến. Do đó, việc sửa chữa mọi lỗ hổng là không thực tế.

Bài "3 chiến lược để đảm bảo chuỗi cung ứng kỹ thuật số của bạn" được đăng bởi "blogkinhdoanh.net"

Rất may, nó không cần thiết. Không phải tất cả các lỗ hổng đều được tạo ra như nhau: Một số lỗ hổng khó có khả năng bị khai thác. Fortinet đã báo cáo rằng chỉ có 5% lỗ hổng được khai thác chống lại hơn 10% tổ chức được giám sát. Cũng giống như một bệnh viện bận rộn phân loại bệnh nhân, các nhóm CNTT có thể phân loại các lỗ hổng bảo mật. Các lỗ hổng có thể khai thác và tác động phải được khắc phục nhanh chóng. Các doanh nghiệp có thể đợi cho đến khi các bản cập nhật theo lịch trình để khắc phục các lỗ hổng ít khẩn cấp hơn.

Các doanh nghiệp có thể sử dụng các số liệu mới được tạo để phân loại các lỗ hổng. Ví dụ, Hệ thống chấm điểm dự đoán khai thác (EPSS), được phát triển bởi một nhóm các chuyên gia an ninh mạng và các nhà cung cấp phần mềm, ước tính xác suất một lỗ hổng sẽ bị khai thác dựa trên các đặc điểm vốn có của nó. Công cụ này sẽ giúp các nhà quản lý rủi ro xác định xem liệu lợi ích an ninh mạng của việc sửa chữa lỗ hổng bảo mật có vượt xa những gián đoạn mà việc khắc phục sẽ gây ra hay không.

Yêu cầu các nhà cung cấp công nghệ quan trọng thực hiện “bản vá nóng”

Một số công nghệ, chẳng hạn như hệ thống điều khiển công nghiệp vận hành các nhà máy và phần mềm quản lý lưới điện và mạng lưới phân phối nước, có vai trò then chốt đến mức chúng không thể bị lỗi. Các doanh nghiệp muốn họ không có bất kỳ lỗ hổng đã biết nào, bất kể họ nghĩ lỗ hổng này có thể bị khai thác như thế nào.

Nhưng các hệ thống này cũng phải luôn sẵn sàng. Nếu chúng cần phải đóng cửa để vá, các bản cập nhật an ninh mạng sẽ không thường xuyên, bởi vì các doanh nghiệp và chính phủ hiếm khi có đủ khả năng để đưa chúng ngoại tuyến.

Do đó, các doanh nghiệp nên yêu cầu các nhà cung cấp của họ triển khai các hệ thống vá lỗi nóng, cho phép họ triển khai các bản vá mà không cần khởi động lại phần mềm của họ. Mặc dù việc triển khai chức năng này có thể làm tăng chi phí, nhưng nó cũng sẽ đảm bảo rằng các doanh nghiệp không phải lựa chọn giữa an ninh mạng và tính khả dụng.

Để chắc chắn, các biện pháp này sẽ không bảo vệ các công ty trước tất cả các rủi ro trong chuỗi cung ứng phần mềm. Giống như bất kỳ thử nghiệm không hoàn hảo nào, EPSS tạo ra âm tính giả: Đôi khi nó kết luận sai rằng các lỗ hổng tiềm ẩn ít khẩn cấp hơn. Hơn nữa, các phương pháp bảo mật được đề xuất của chúng tôi sẽ không bảo vệ các công ty chống lại các tác nhân độc hại tận dụng các lỗ hổng chưa được cộng đồng an ninh mạng phát hiện cho đến khi chúng bị khai thác trong một cuộc tấn công. Tuy nhiên, bằng cách thực hiện các bước này, các công ty sẽ có thể đẩy lùi phần lớn các cuộc tấn công, vũ khí hóa các lỗ hổng đã biết và có thể khai thác. Các doanh nghiệp không cần cảm thấy bất lực – họ có thể quản lý rủi ro này.

Theo dõi
Đăng nhập
Thông báo của
guest
Nhập địa chỉ email để nhận thông báo các bình luận mới trong bài viết này...
guest
Nhập địa chỉ email để nhận thông báo các bình luận mới trong bài viết này...
0 Comments
Phản hồi nội tuyến
Xem tất cả bình luận
Share. Facebook Twitter Pinterest LinkedIn Telegram Reddit Tumblr Email VKontakte
Previous ArticleMột số lỗi thường gặp khi xây dựng cơ chế trả lương cho sale
Next Article Làm thế nào để xây dựng trách nhiệm giải trình vào AI của bạn
Avatar of Blog Kinh Doanh
Blog Kinh Doanh

    Related Posts

    Đồng bằng sông Cửu Long phát triển nhanh chóng năng lượng tái tạo

    Doanh nghiệp 25/10/2022By Blog Kinh Doanh

    Techcombank áp dụng công nghệ Salesforce để thúc đẩy chuyển đổi số

    Doanh nghiệp 25/10/2022By Blog Kinh Doanh

    15 chiến lược giúp bạn mở rộng quy mô kinh doanh

    Doanh nghiệp 25/10/2022By Mỹ Hân

    6 ý tưởng đột phá để tăng doanh số bán hàng của bạn trong năm nay

    Doanh nghiệp 25/10/2022By Destiny

    Định giá doanh nghiệp là gì? Phương pháp định giá

    Doanh nghiệp 25/10/2022By Mỹ Hân

    Tại sao các công ty khởi nghiệp cần ưu tiên công nghệ chuỗi khối (Blockchain)?

    Doanh nghiệp 25/10/2022By Mỹ Hân
    Bài Mới
    Kinh doanh

    Nghỉ việc trong lặng lẽ là gì – và đó có phải là một xu hướng thực sự không?

    By Trúc Quỳnh01/02/202309 Mins Read
    Kinh doanh

    Định nghĩa kickback, cách thức hoạt động và ví dụ

    By Trúc Quỳnh01/02/202306 Mins Read
    Tài chính

    Hiểu về tiền: Thuộc tính, loại và cách sử dụng của nó

    By Trúc Quỳnh01/02/2023015 Mins Read
    Kinh doanh

    8 cổ phiếu được hưởng lợi từ các sự kiện thời tiết khắc nghiệt

    By Trúc Quỳnh01/02/202306 Mins Read
    Kinh doanh

    Tài chính có nghĩa là gì? Lịch sử, các loại và tầm quan trọng của nó được giải thích

    By Trúc Quỳnh01/02/2023028 Mins Read
    Xu Hướng
    Doanh nhân

    19 mẹo tâm lý giúp bạn “đọc vị” người khác trong một nốt nhạc

    26/10/2022
    Doanh nhân

    19 Website hữu ích sẽ giúp bạn phát triển bản thân

    25/10/2022
    Doanh nhân

    50 ý tưởng phát triển bản thân mỗi ngày cực đơn giản

    25/10/2022
    Doanh nhân

    12 bước hướng dẫn thiết lập mục tiêu của Brian Tracy

    26/10/2022
    Doanh nhân

    Bí kíp giúp bạn tự học mọi thứ bắt đầu từ con số 0

    25/10/2022
    Xem Nhiều
    Doanh nhân

    19 mẹo tâm lý giúp bạn “đọc vị” người khác trong một nốt nhạc

    By Blog Kinh Doanh26/10/202206 Mins Read
    Doanh nhân

    50 ý tưởng phát triển bản thân mỗi ngày cực đơn giản

    By Blog Kinh Doanh25/10/202207 Mins Read
    Doanh nhân

    19 mẹo tâm lý giúp bạn dễ thở hơn trong cuộc sống

    By Blog Kinh Doanh25/10/202204 Mins Read
    Doanh nhân

    19 Website hữu ích sẽ giúp bạn phát triển bản thân

    By Blog Kinh Doanh25/10/202206 Mins Read
    Doanh nhân

    Tâm lý học hành vi và cách áp dụng trong đàm phán

    By Blog Kinh Doanh25/10/202206 Mins Read
    Theo dõi BlogKinhDoanh
    • Facebook
    • Twitter
    • Pinterest
    • LinkedIn

    BlogKinhDoanh.net là trang thông tin kinh tế, kinh doanh, doanh nhân, đầu tư tài chính, đầu tư bất động sản.

    Facebook Twitter Pinterest LinkedIn RSS

    Nghỉ việc trong lặng lẽ là gì – và đó có phải là một xu hướng thực sự không?

    01/02/2023

    Định nghĩa kickback, cách thức hoạt động và ví dụ

    01/02/2023

    Hiểu về tiền: Thuộc tính, loại và cách sử dụng của nó

    01/02/2023

    Cách xây dựng liên kết chất lượng & an toàn cho SEO

    25/10/2022

    Trở lại làm việc tại văn phòng sẽ khó sau dịch, đây là cách người quản lý có thể làm cho nó dễ dàng hơn

    26/10/2022

    Cuộc đời trọn vẹn khi bạn có đủ 3 chữ “không”: không chấp nhặt, không tham lam, không ngoan cố

    25/10/2022
    Facebook Twitter Instagram Pinterest
    • Trang chủ
    • Giới thiệu
    • Điều khoản
    • Liên hệ
    © 2023 Blog Kinh Doanh

    Type above and press Enter to search. Press Esc to cancel.

    wpDiscuz