在人和软件/设备的供应链都不可靠的情况下,如何保证企业核心资产的安全?

供应链软件安全是网络安全的主题之一,近日官网下载的XShell也被曝光自带后门,之前曾出现第三方渠道下载的Putty、XCode被植入后门的情况,Chrome浏览器多个插件也曾被插入恶意代码,如果官网与第三方软件分发渠道都不可信,在一切都可编程,一切都要依赖软件的今天,我们该怎么办?
关注者
56
被浏览
892

1 个回答

尽力做好自己环节的可信,默认其他环节都不可信

可以通过规范、定制工具、扫描审计等手段。比如

XCode由公司通过可信渠道分发,不许从非官方渠道下载

ssh客户端也同上,甚至可以自己开发个,比如web版的

再说个极端点的,员工访问外部网站用单独的浏览器,不许在此浏览器上访问内部系统、网络上用代理做隔离、跑在沙箱或虚拟机……

对违反规范的,要有能力审计到,并要有震慑作用

当然这些大部分企业做不到,但可以尽力往上靠