从肉眼看来,组织都是独立的实体,试图在世界上留下自己的印记。但事实并非如此。公司依靠其他业务维持运营。杂货店需要食品供应商;科技公司依靠制造半导体和硬件的业务。没有人可以独自前行。
如今,软件供应链将各行各业的公司连接在一起。软件应用程序和操作系统依靠软件供应链的各个环节来提供改进的功能。但是,尽管软件供应链提高了大多数组织的效率和生产力,但这也意味着,如果软件中存在漏洞或故障,它可能会导致数百或数千家公司的业务运营停止。即使是用于保护用户免受网络攻击的安全程序也可能发布可利用的软件或带有编码错误的更新,这可能导致从大规模数据泄露到航班取消,再到医疗机构因无法访问患者记录而关闭等各种后果。
这些软件供应链故障不仅会损害公司,还会波及数百万人。那么,为什么软件供应商能够如此深入地访问单个组织的系统,以至于一个问题就可能造成噩梦般的后果呢?
计算的演变
Okta 客户身份总裁 Shiv Ramji 表示,要了解系统为何如此互联,就必须了解计算和软件应用程序的发展。
“我们从程序员在大型机上编写的世界开始,然后从大型机转向云端和分布式计算模型,”Ramji 在 Oktane 会议的一次谈话中解释道。
好处是,公司现在可以更快地部署应用程序,并且可以灵活地扩展。云中的应用程序速度更快。在云和网络系统中构建嵌入应用程序有很多好处。
然而,Ramji 说,这也意味着应用程序堆栈变得更加复杂和更加精密。
Ramji 解释道:“典型的例子是,如果我有一款社交媒体应用或照片共享应用,我必须存储它。”如果用户依赖单一数据中心和单一存储机制,扩展将变得更加困难和昂贵。
“但如今,你可以快速扩展,因为你可以使用亚马逊的 S3 进行存储,还可以扩展计算能力,”Ramji 补充道。“因此,无论我有两个用户还是最终有 2 亿用户,我都能满足需求。”
计算领域的这种发展带来了更加复杂的应用程序堆栈,整个系统之间存在大量相互依赖关系。云计算服务、安全服务和网络功能可以无缝协作,因为它们能够嵌入到组织的基础设施中。
与供应商锁定
这些相互依赖关系正日益使组织过度依赖特定的供应商和应用程序来保持业务运营平稳运行。这样做的好处是拥有与您的基础设施集成并可以无缝构建的第三方合作伙伴关系。缺点是没有货比三家寻找更好的交易会增加成本,并且安全漏洞会在没有警告的情况下导致您的系统崩溃的风险更大。由于嵌入的供应商应用程序而导致的一段错误代码可能会造成无法挽回的损失。
根据Dashdevs 的研究,“事实证明,供应商锁定会导致意想不到的成本和技术债务。” 对这些嵌入式应用程序的依赖“已被证明会增加风险和特定于供应商的漏洞”。
当这些嵌入式应用程序存在缺陷时(例如,漏洞被利用或代码配置错误),修复可能会很复杂。修复过程可能看起来就像删除损坏的文件或应用补丁一样简单,但如果问题根本不允许您访问系统,会发生什么情况?为此,您必须确定是哪个程序导致了问题,以及问题位于系统中的哪个位置。这个问题是否可以通过云修复一次,并自动在所有设备上解决,还是需要更新单个机器?最后,供应商和贵组织之间的沟通如何?问题是您自己发现的还是别人向您透露的,第三方承担责任的意愿和速度如何?
不幸的是,没有简单的答案。这取决于具体情况——供应商的类型、应用程序如何嵌入到您的网络中以及它导致的问题。
Okta 副首席战略官 Charlotte Wylie 表示:“从弹性的角度来看,您所部署的一些系统和控制措施可能会决定您的服务是保持正常运营并可供客户使用,还是因中断而彻底崩溃,就像我们最近在其他供应商那里看到的一样。”
供应商如何保障客户安全
供应商可以采取措施保护客户免受软件故障的影响,首先要认识到他们在客户基础设施中的作用。Wylie 就供应商和客户如何合作为嵌入式应用程序增加安全性提供了以下建议:
在双方实施具有最小特权权限的访问
如果服务质量下降,应制定控制措施和规程
拥有管理良好的账户,并由贵组织的 IAM 团队进行维护和保护
“我认为最低权限和拥有正确的身份非常重要,”怀利说。“然后定期进行测试,这样你就有了正确的企业弹性,并知道你的灾难恢复计划已经准备就绪——当你与供应商合作时,这些就是你的备份计划。”
每个组织都越来越依赖其复杂网络架构中使用的软件供应链和应用程序。如今,如果不依赖第三方,几乎不可能有效地运营企业,因为第三方不仅可以直接访问您的系统,还可以通过您使用的其他应用程序和软件访问您的系统。故障是难免的。准备好应对任何最坏情况的恢复计划,并思考如何与第三方供应商一起构建最佳网络以解决故障,将防止停机变成新闻事件。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...