须扩展到“操作性供应链”问题,如更新。以政治为目的的攻击逐渐增多 IT供应链的完整性问题日益突出是因为攻击者的动机在不断改变。攻击者现在更喜欢为政治,军事或是金融目的进行有针对性的攻击。IT供应链的攻击者的攻击方向并不受限于智力和防御目标,他们可能攻击生产制造,金融服务和制药等。 IT企业可以采取一些步骤保护自己的供应链。企业应该从IT供应商处寻求供应链的证物,要周期性的采样和产品测试,以确保供应链不会被损坏。企业应该加强采购环节,并直接与IT供应商交易,可能的话,也可以通过受信任的有资质的销售商交易。Gartner还建议要“明确禁止从eBay等公共拍卖网站购买新旧IT软硬件。”企业倾向于软件定义型IT架构据Valdes透露,大多数硬件系统包括基于软件的要素,如固件和设备。更多的程序逻辑都转换到了软件堆栈。运行于标准硬件的软件定义型IT架构会带来更多透明度,使得人们更容易信任供应链,因为软件层级会更容易测试。即便有了软件,企业也需要确保自己使用的是正版软件,且应用都具备可靠的数字证书。“数字认证的东西不一定可信。如果盲目相信证书,那么偷窃的或损坏的代码签署证书将是主要的威胁。”分析师警告称。企业应该多使用基于社区的证书和文件声誉服务的认证代码。还要注意,开源组件不会缓解供应链完整性的问题,因为未知的和过时的库和架构可能带来企业巨大威胁。企业应该确认开源产品中使用的所有架构和库都合法且得到及时更新,而且所用的编译器未被损坏。MacDonald总结称,企业的IT部门必须保护自己的系统和信息,因为所有的IT系统都可疑。據Gartner最新報告顯示,企業IT供應鏈將會成為被破壞的目標,因此企業都在被迫思考如何對供應鏈的完整性進行管理。IT供應鏈的完整性是全球2000名IT領導者最關心的三大安全問題之一,Gartner分析師NeilMacDonald和RayValdes在報告中指出。
全文预览
