卡巴斯基的一项最新研究显示，超过三分之二的企业愿意投资于承包商和供应商的安全防护，以确保自身免受网络攻击的侵害，另有四分之一的企业已付诸行动。这一转变表明，企业现在已将承包商视为一个互联、统一的安全生态系统中的一部分。

在供应链攻击激增的背景下——过去一年全球几乎每三家公司中就有一家遭受此类攻击，且四分之一的公司受到信任关系攻击的影响[1]，各组织正重新审视其内部安全策略。他们意识到，自身的网络风险取决于任何有权访问其基础设施和系统的承包商或合作伙伴的安全状况，并准备采取相应行动。

调查显示，69%的受访者正考虑投资于承包商的安全防护，以增强自身的网络韧性。这一意愿在印度（83%）、印度尼西亚（80%）、俄罗斯（80%）和巴西（76%）尤为突出。值得注意的是，印度尼西亚、巴西和俄罗斯的企业对承包商的信任度高于其他国家——这体现在有权访问公司系统的承包商数量高于平均水平。

与此同时，已有25%的企业开始与承包商分担安全成本，将计划付诸行动。这一举措在中国香港和中国台湾（33%）、西班牙（33%）、土耳其（31%）及越南（31%）的普及率更高。

“如今的企业已经意识到，安全绝不能止步于自身组织的边界，它必须延伸至整个生态系统，”卡巴斯基安全运营中心负责人Sergey Soldatov评论说：“规模较小的公司往往缺乏其所服务的企业客户所具备的安全能力，这为后者带来了额外的风险。通过共享资源和专业知识，大型企业可以弥合这一差距，强化整个依赖链中的薄弱环节，并成为全球网络韧性的关键推动力。”

为了降低供应链风险，卡巴斯基建议企业通过组织措施加强安全防护，包括对软件供应商进行严格且基于证据的评估。通过评估供应商的安全实践、审查软件开发流程并应用结构化的评估框架，企业可以确保只有安全、具有韧性的产品才能在其内部基础设施中运行。有关如何选择最佳产品的详细指南，请查看此链接。

为消除供应链及可信关系带来的风险，卡巴斯基还给出以下建议：

·就安全问题与供应商开展合作。与供应商密切合作以改进其安全措施至关重要——此类合作能增强相互信任，并使安全防护成为双方共同的优先事项。

·在达成合作前对供应商进行全面评估。在开始合作前，评估潜在供应商的安全水平至关重要。这包括要求审查其网络安全政策、了解过往安全事件以及是否符合行业安全标准。

·对于软件产品和云服务，建议收集漏洞数据和渗透测试信息，还建议进行动态应用安全测试（DAST）。

·落实合同中的安全要求。与供应商签订的合同应包含具体的信息安全条款，例如定期进行安全审计、遵守贵组织的相关安全政策，以及明确的事件通报机制。

·采取预防性技术措施。如果贵组织实施诸如最小权限原则、零信任和成熟的身份管理等安全措施，则因供应商安全漏洞而造成严重损害的风险将显著降低。

更多建议以及关于供应链风险的其他发现，请点击此链接查看。

[1]根据《供应链反应：在相互依存的时代保护全球数字生态系统》报告。为撰写该报告，卡巴斯基内部市场研究中心委托开展了一项调查，受访对象为1,714名技术专家，职位涵盖高管层、副总裁、团队负责人及高级专家，均来自员工规模超过500人的企业。该研究覆盖了16个国家，包括德国、西班牙、意大利、巴西、墨西哥、哥伦比亚、新加坡、越南、中国、印度、印度尼西亚、沙特阿拉伯、土耳其、埃及、阿拉伯联合酋长国和俄罗斯。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止，卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务，为全球的个人用户、企业、关键基础设施和政府提供安全保护。该公司全面的安全产品组合包括领先的个人设备数字生活保护、面向企业的专业安全产品和服务，以及用于对抗复杂且不断演变的数字威胁的网络免疫解决方案。我们为数百万个人用户及近20万企业客户守护他们最珍视的数字资产。要了解更多详情，请访问www.kaspersky.com。