依赖合作伙伴关系

他的公司代表多家国际航空公司，经常使用与第三方航空公司的联运协议将货物从加拿大运送到中转点，航空公司也利用这一策略来扩大其业务范围。不过，这些协议在疫情期间被暂停，因为航空公司不太愿意将宝贵的空间用于低收益的交通。这一趋势对临时市场的可用运力产生了连锁反应。这对航空货运价格上涨的压力来说是一个次要因素，因为航空公司的载客率创下了新高。

电话号码、身份、对话记录、共享照片等活跃用 Telegram 数据库用户列表户数量到2024年将达到7亿左右。该平台通过云聊天为日常聊天提供极其强大的安全功能，并为私人对话提供端到端加密。为了保护用户的隐私权，并确保平台维护用户数据的安全和隐私，Telegram 必须遵守数据管理的相关操作原则。

SolarWinds 事件最重要的教训或许是，技术供应商本质上是供应链合作伙伴，必须根据战略需求进行评估。因此，公司需要向供应商提供一套明确的安全准则，这些准则既适用于他们购买的技术，也适用于他们的内部流程。我认为我们最好先讨论最终用户可以采取哪些措施来保护自己免受 IT 供应链攻击，”Shivhare 说。“然后我们可以规划出供应商如何展示最终用户需要他们采取的所有措施来帮助他们防止供应链攻击。”因此，对话必须从风险评估开始。鉴于当前的威胁，哪些风险是可以接受的，哪些是不允许的？这可能会给供应商带来一些棘手的问题。软件供应商是否会定期将其平台提交给第三方进行渗透测试，以“强化”其平台以抵御黑客攻击？它是否会共享这些测试的数据？当发现问题或漏洞时，公司会承诺什么样的沟通时间表？这些问题的解决很耗时，但可能是必不可少的。即使供应商承诺遵守严格的标准，许多公司在安装软件时仍会极其谨慎。例如，新发布的软件包通常会在测试环境中运行，然后才会在公司网络上线。数据安全准则应适用于供应链合作伙伴以及技术供应商。例如，如果与供应商交换文件，那么询问供应商如何保护自己的数据不被泄露是合理的。相反，参与供应链的公司需要准备好回答来自供应商和客户的类似问题。一个常见的错误是只在建立关系之初提出棘手的问题，然后就不再提了。我们需要的是一个记录在案的流程，用于定期审查安全相关问题。

外包

对于资源有限的小公司来说，这一切可能令人望而生畏。在这种情况下，与管理服务提供商建立合作关系可能是一个可行的选择。许多公司认为他们应该在内部完成所有工作，”总部位于多伦多的托管服务提供商 Quartet Service 的解决方案开发人员 Andrew Walsh 表示。“但我们在很多方面都增强了内部 IT 功能。我们拥有他们所不具备的规模经济和基础设施，而且有些事情我们可以做得更好。”这里的一个关键优势是响应能力，否则需要花费大量时间和精力来开发和维护，需要采取更彻底的方法，这促使许多人考虑一种名为“零信任”的网络安全模型，该模型基于没有用户可以自动信任的假设，规定频繁检查和验证。这些措施使得入侵者即使获得访问权限也难以在网络中横向移动。零信任基本上意味着，任何请求访问任何资源的设备或人员都被视为外部连接，并通过有条件访问方法运行，而且可能会被忽视。“我们的职责是确保沟通渠道畅通，有警报流程，并且我们有明确的网络事件响应流程，”沃尔什说。虽然网络安全对许多决策者来说都是新领域，但关系管理是一门成熟的学科，特别是对于已经身处复杂供应链的公司而言。“这只是常识，”库珀说。“了解你在与谁打交道，制定政策和流程，然后制定纪律并坚持下去。你不需要拥有高学历的人来解决这些问题

阻止太阳风

今年 2 月，美国网络安全公司 FireEye 总裁凯文·曼迪亚 (Kevin Mandia) 在美国参议院委员会作证时讲述了他的公司如何破获臭名昭著的 SolarWinds 供应链攻击，该攻击造成约 18,000 名受害者，其中包括多个美国政府部门。曼迪亚解释道，攻击者通过向 FireEye 的网络管理软件 SolarWinds Orion 植入代码，入侵了该公司的网络。这次攻击隐蔽性极强，100 名安全分析师花了数周时间筛选数百万行代码，才找到这个大海捞针。此类代码植入是供应链攻击的典型特征，通过危害第三方来破坏目标。此类攻击非常复杂，与广为人知的勒索软件和拒绝服务 (DOS) 攻击相比，此类攻击十分罕见。此次事件中，令安全界震惊的是攻击者惊人的资源和他们长期作战的意愿。微软加拿大首席安全官凯文·马吉 (Kevin Magee) 表示：“这种攻击媒介的演变已经酝酿了很长时间。我认为，在过去 12 到 18 个月左右的时间里，我们才刚刚看到它进入下一个阶段。”由于 SolarWinds 是 IT 专业人员用来监控和管理整个网络的流行工具，因此它成为数千个组织（包括美国财政部、微软和思科）的理想切入点。您不会将 SolarWinds 部署在网络边缘，”前网络安全顾问、Muskoka Hydrovac 所有者兼运营商 Charles Cooper 表示。“它部署在网络最值得信赖的核心。因此，如果它受到威胁，它现在可以看到网络上的所有其他内容。”

防御策略

尽管 SolarWinds 的攻击是历史上最复杂焦点小组讨论是：定义、目标和特征的攻击之一，但最初向 FireEye 发出攻击警报的方法并不复杂。在一次例行检查中，一名员工被问及刚刚以他名义注册的一部手机是否确实是他的。当答案是否定的时，公司就知道有入侵者了。专家表示，诸如此类的基本程序往往是网络安全的关键。“电影把网络安全描绘成天才黑客的代名词，”麦吉说，“但通常只有基本的卫生习惯和基本操作才能为你提供最大的保护。”这次攻击的一个重要教训是，双因素身份验证或入侵检测等技术可以被规避。技术研究公司 IDC Canada 的安全和基础设施高级分析师 Yogesh Shivhare 表示：“没有哪项技术可以保护你免受供应链攻击。这是风险管理最佳实践和你在自己环境中做出的网络安全选择的结合。”许多选择都会对业务产生直接影响。“治理在很大程度上是个问题，”Magee 说。“IT 通常不是做出决策的合适地方。决策实际上来自业务——我们需要保护的最重要和最关键的因素是什么？”关键决策通常围绕“CIA”三要素展开，该三要素基于以下三个要素的首字母缩写：机密性（即限制合格人员访问）、完整性（即数据来源）和可用性（即访问数据的便利性）。挑战在于需要权衡利弊——一个普遍的经验法则是，你可以拥有其中两个，但不能拥有所有三个。这对供应链运营商来说是一个艰难的选择，因为他们依赖数据的自由流动来高效运营，但如果机密性或完整性被破坏，他们将付出高昂的代价。例如，更严格的身份验证可以通过阻止入侵者来确保高度机密性，但也通过使授权用户更难访问数据而降低了可用性。加密使数据对攻击者毫无用处，但也会大大减慢数据流。

连通性的风险

在互联的供应链中，遭受攻击的可能性和潜在欧洲电子邮件后果都被放大了。“随着全球供应链以复杂的方式真正整合在一起，管理可用性、完整性和机密性平衡的复杂性变得非常难以理解，”Magee 说。例如，一家拥有国防或航空航天客户的公司可能很容易受到攻击。“在供应链中，如果你的组织受到攻击，你可能不是目标，”麦吉说。“也许是供应链下游的某个人，你向他们供应零件。”Magee 说。“这不仅适用于远程工作人员的连接，也适用于连接到组织的设备，例如物联网设备。”需要注意的是，保证网络安全不仅仅在于检测，还在于响应——需要牢固建立并记录通知利益相关者、调配 IT 资源和将损害降至最低的协议。“如果你能更快地检测到威胁，但需要很长时间才能做出反应，那么这样做毫无意义——损害已经造成了，”Shivhare 说。“大多数此类攻击只需几个小时就能造成损害。”成本也是权衡因素之一。网络安全工具的购买和部署成本高昂，而内部流程的维护成本也很高。例如，一家公司可能制定了一项政策，即一个人下载并安装软件更新，另一个人签署其完整性。这可能有助于防止受感染的软件进入网络，但却会耗费时间和资源。最近，许多公司发现，传统的基于合规性的安全方法（依赖于特定时间点的评估）是不够的。“由于供应链流动，我们需要开始重新思考我们如何处理这个问题，”麦吉说。“那么，你如何才能确保供应链的生命周期，而不是传统的合规方式，即时间点检查？