yl23411永利官网组织可能是网络安全的，但yl23411永利官网供应商安全吗？


这一切都始于 HVAC 系统。

旨在破坏世界上最大的零售商之一塔吉特公司yl23411永利官网的黑客首先必须找到一个初始入口点 - 这个漏洞无论多么隐蔽，都足以为他们提供足够的访问权限来开始挖掘隧道。

由于对第三方供应商进行了一次成功的鱼叉式yl23411永利官网钓鱼攻击，他们找到了他们想要的东西。

法齐奥机械服务，供应商，利用数字时代技术使其能够远程控制其设备，从而提高效率和成本。缺点：yl23411永利官网安全风险不仅针对供应商，而且针对其大企业客户。

黑客通过鱼叉式yl23411永利官网钓鱼方式进入 Fazio 的yl23411永利官网，并用恶意软件感染了该yl23411永利官网，最终产生了可用于进入 Target 系统的凭据。一旦进入，黑客就会将恶意脚本上传到易受攻击的 Web 应用程序，识别攻击向量，授予自己域管理员权限，并最终侵入公司的销售点设备。

最终结果？ 7000 万客户的个人身份信息 (PII) 遭到泄露。总计有 4000 万张借记卡和信用卡凭据被获取并在黑市上出售。

此次泄露仍然是历史上规模最大、最臭名昭著的泄露事件之一，并且仍然是一个警示。

大多数公司和组织将各种业务职能委托给服务提供商。例如，可能会聘请外部公司来提供物理安全。人力资源顾问可能会被委托筛选求职者。复印机供应商可能会安装和维护支持 IP 的复印机，并链接到公司yl23411永利官网。这种数字交织带来了巨大的收益，但也带来了一些严重的风险。仅仅是一个看似很小的故障——例如，未能重置那台全新的、最先进的打印机上的默认密码——就可能为yl23411永利官网犯罪分子提供攻击媒介。

组织应该采取哪些措施来管理风险？美国国家标准与技术研究院 (NIST) 定义五个最佳实践 作为其一部分yl23411永利官网安全框架 组织可以用来管理yl23411永利官网风险：

1. 识别。认识并了解哪些特定威胁可能会影响yl23411永利官网组织。
2. 保护。确定需要采取哪些步骤来消除这些威胁，然后实施这些步骤。 
3. 检测。yl23411永利官网网络安全团队必须有能力检测正在进行的事件。
4. 回复。对违规或其他事件的响应不应是临时的。应在实际攻击之前就分析场景并制定响应措施。
5. 恢复。yl23411永利官网犯罪分子每天 24 小时都在活动，对于大多数组织来说，问题不是“是否”而是“何时”。虽然预防仍然至关重要，但现实是违规迟早会发生。采取了哪些措施来尽量减少其影响？

对于组织来说，存在双重挑战：他们不仅必须实施 NIST 框架中概述的最佳实践，而且还必须让供应商和承包商承担责任。 

实现这一目标的一种越来越流行的方法是开发供应商风险管理计划，该计划提供一种系统方法来确保可能向组织提供服务的许多第三方都采取安全实践。通过这样的程序，公司可以定义要包含在供应商合同中的要求。它可以制定对潜在供应商进行尽职调查的政策和程序。它可以将定期审核和评估纳入流程的一部分。

制定和实施有效的供应商风险管理计划既不简单也不便宜。定义程序的各个方面可能需要花费大量的时间和精力。需要足够的人员来确保程序按预期运行。虽然企业可能会对付出的努力和费用犹豫不决，但他们还必须考虑一个更大的问题：他们是否愿意承受因重大违规行为而造成的损害——不仅是对利润的损害，而且是对公司声誉的损害？

安全是有代价的。然而，如果没有这样的计划，成本可能会成倍增加。