Generative Data Intelligence

Κυβερνασφάλεια

Η αξιολόγηση και ο μετριασμός των κινδύνων της κυβερνοασφάλειας ελλοχεύουν στην αλυσίδα εφοδιασμού σας

Αναδημοσίευση από τον Πλάτωνα
Αναδημοσίευση από τον Πλάτωνα

Ημερομηνία:

Εμφανίσεις: 0

Επιχειρησιακή ασφάλεια

Το να εμπιστεύεστε τυφλά τους συνεργάτες και τους προμηθευτές σας στη στάση ασφαλείας τους δεν είναι βιώσιμο – είναι καιρός να αναλάβετε τον έλεγχο μέσω αποτελεσματικής διαχείρισης κινδύνου προμηθευτή

Φιλ Μάνκαστερ

Φιλ Μάνκαστερ

Ιανουάριος 25 2024  •  , 5 λεπτό. ανάγνωση

Αξιολόγηση και μετριασμός των κινδύνων για την ασφάλεια στον κυβερνοχώρο εφοδιαστικής αλυσίδας

Ο κόσμος είναι χτισμένος σε αλυσίδες εφοδιασμού. Είναι ο συνδετικός ιστός που διευκολύνει το παγκόσμιο εμπόριο και την ευημερία. Αλλά αυτά τα δίκτυα αλληλοεπικαλυπτόμενων και αλληλένδετων εταιρειών είναι ολοένα και πιο περίπλοκα και αδιαφανή. Τα περισσότερα αφορούν την παροχή λογισμικού και ψηφιακών υπηρεσιών, ή τουλάχιστον εξαρτώνται κατά κάποιο τρόπο από τις διαδικτυακές αλληλεπιδράσεις. Αυτό τους θέτει σε κίνδυνο από αναστάτωση και συμβιβασμούς.

Ειδικά οι μικρομεσαίες επιχειρήσεις ενδέχεται να μην αναζητούν προληπτικά ή να μην διαθέτουν τους πόρους για να διαχειριστούν την ασφάλεια στις αλυσίδες εφοδιασμού τους. Αλλά στα τυφλά εμπιστεύεστε τους συνεργάτες και τους προμηθευτές σας όσον αφορά τη στάση τους στον κυβερνοχώρο δεν είναι βιώσιμο στο σημερινό κλίμα. Πράγματι, είναι (παρελθόν) καιρός να ασχοληθούμε σοβαρά με τη διαχείριση του κινδύνου της εφοδιαστικής αλυσίδας.

Τι είναι ο κίνδυνος της εφοδιαστικής αλυσίδας;

Οι κίνδυνοι στον κυβερνοχώρο της εφοδιαστικής αλυσίδας θα μπορούσαν να λάβουν πολλές μορφές, από ransomware και κλοπή δεδομένων έως άρνηση υπηρεσίας (DDoS) και απάτη. Μπορεί να επηρεάσουν παραδοσιακούς προμηθευτές, όπως εταιρείες επαγγελματικών υπηρεσιών (π.χ. δικηγόρους, λογιστές) ή προμηθευτές επιχειρηματικού λογισμικού. Οι εισβολείς μπορεί επίσης να κυνηγήσουν τους διαχειριζόμενους παρόχους υπηρεσιών (MSP), επειδή θέτοντας σε κίνδυνο μια μεμονωμένη εταιρεία με αυτόν τον τρόπο, θα μπορούσαν να αποκτήσουν πρόσβαση σε έναν δυνητικά μεγάλο αριθμό μεταγενέστερων επιχειρήσεων πελατών. Έρευνα από πέρυσι αποκάλυψε ότι το 90% των MSP υπέστη κυβερνοεπίθεση τους προηγούμενους 18 μήνες.

Ακολουθούν μερικοί από τους κύριους τύπους κυβερνοεπιθέσεων στην αλυσίδα εφοδιασμού και πώς συμβαίνουν:

  • Παραβιασμένο ιδιόκτητο λογισμικό: Οι κυβερνοεγκληματίες γίνονται όλο και πιο τολμηροί. Σε ορισμένες περιπτώσεις, μπόρεσαν να βρουν έναν τρόπο να παραβιάσουν τους προγραμματιστές λογισμικού και να εισαγάγουν κακόβουλο λογισμικό στον κώδικα που στη συνέχεια παραδίδεται σε μεταγενέστερους πελάτες. Αυτό συνέβη στο Καμπάνια Kaseya ransomware. Σε μια πιο πρόσφατη περίπτωση, δημοφιλές λογισμικό μεταφοράς αρχείων Το MOVEit παραβιάστηκε από μια ευπάθεια zero-day και δεδομένα που έχουν κλαπεί από εκατοντάδες εταιρικούς χρήστες, επηρεάζοντας εκατομμύρια πελάτες τους. Εν τω μεταξύ, το συμβιβασμός του λογισμικού επικοινωνίας 3CX έμεινε στην ιστορία ως το πρώτο δημοσίως τεκμηριωμένο περιστατικό μιας επίθεσης στην εφοδιαστική αλυσίδα που οδήγησε σε μια άλλη.
  • Επιθέσεις σε αλυσίδες εφοδιασμού ανοιχτού κώδικα: Οι περισσότεροι προγραμματιστές χρησιμοποιούν στοιχεία ανοιχτού κώδικα για να επιταχύνουν το χρόνο για την αγορά για τα έργα λογισμικού τους. Αλλά οι φορείς απειλών το γνωρίζουν αυτό και έχουν αρχίσει να εισάγουν κακόβουλο λογισμικό σε στοιχεία και να τα καθιστούν διαθέσιμα σε δημοφιλή αποθετήρια. Μια αναφορά ισχυρίζεται σημειώθηκε αύξηση 633% από έτος σε έτος σε τέτοιες επιθέσεις. Οι φορείς απειλών εκμεταλλεύονται επίσης γρήγορα τρωτά σημεία στον ανοιχτό κώδικα, τα οποία ορισμένοι χρήστες μπορεί να αργήσουν να επιδιορθώσουν. Αυτό συνέβη όταν βρέθηκε ένα κρίσιμο σφάλμα σε ένα σχεδόν πανταχού παρόν εργαλείο γνωστό ως Log4j.
  • Μίμηση προμηθευτών για απάτη: Εξελιγμένες επιθέσεις γνωστές ως επιχειρηματικό ηλεκτρονικό συμβιβασμό (BEC) μερικές φορές εμπλέκουν απατεώνες που υποδύονται τους προμηθευτές προκειμένου να εξαπατήσουν έναν πελάτη για να του αποδώσουν χρήματα. Ο εισβολέας συνήθως κλέβει έναν λογαριασμό email που ανήκει στο ένα μέρος ή στο άλλο, παρακολουθώντας τις ροές email μέχρι να έρθει η κατάλληλη στιγμή για να παρέμβει και να στείλει ένα ψεύτικο τιμολόγιο με τροποποιημένα τραπεζικά στοιχεία.
  • Κλοπή διαπιστευτηρίων: Επίθεση κλέψουν τα logins των προμηθευτών σε μια προσπάθεια παραβίασης είτε του προμηθευτή είτε των πελατών τους (στα δίκτυα των οποίων μπορεί να έχουν πρόσβαση). Αυτό συνέβη στη μαζική παραβίαση του στόχου το 2013 όταν χάκερ έκλεψαν τα διαπιστευτήρια ενός από τους προμηθευτές HVAC του λιανοπωλητή.
  • Κλοπή δεδομένων: Πολλοί προμηθευτές αποθηκεύουν ευαίσθητα δεδομένα για τους πελάτες τους, ειδικά εταιρείες όπως δικηγορικά γραφεία που γνωρίζουν απόρρητα εταιρικά μυστικά. Αντιπροσωπεύουν έναν ελκυστικό στόχο για τους παράγοντες απειλών που αναζητούν πληροφορίες που μπορούν δημιουργία εσόδων μέσω εκβιασμού ή άλλα μέσα.

Πώς αξιολογείτε και μετριάζετε τον κίνδυνο προμηθευτή;

Όποιος κι αν είναι ο συγκεκριμένος τύπος κινδύνου της εφοδιαστικής αλυσίδας, το τελικό αποτέλεσμα θα μπορούσε να είναι το ίδιο: οικονομική ζημιά και φήμη και κίνδυνος δικαστικών αγωγών, διακοπές λειτουργίας, χαμένες πωλήσεις και θυμωμένοι πελάτες. Ωστόσο, είναι δυνατή η διαχείριση αυτών των κινδύνων ακολουθώντας ορισμένες βέλτιστες πρακτικές του κλάδου. Εδώ είναι οκτώ ιδέες:

  1. Πραγματοποιήστε τη δέουσα επιμέλεια για οποιονδήποτε νέο προμηθευτή. Αυτό σημαίνει ότι ελέγχετε ότι το πρόγραμμα ασφαλείας τους ευθυγραμμίζεται με τις προσδοκίες σας και ότι έχουν θεσπίσει βασικά μέτρα για την προστασία, τον εντοπισμό και την απόκριση απειλών. Για τους προμηθευτές λογισμικού θα πρέπει επίσης να επεκταθεί στο εάν διαθέτουν ένα πρόγραμμα διαχείρισης ευπάθειας και ποια είναι η φήμη τους όσον αφορά την ποιότητα των προϊόντων τους.
  2. Διαχειριστείτε τους κινδύνους ανοιχτού κώδικα. Αυτό μπορεί να σημαίνει τη χρήση εργαλείων ανάλυσης σύνθεσης λογισμικού (SCA) για να αποκτήσετε ορατότητα σε στοιχεία λογισμικού, παράλληλα με τη συνεχή σάρωση για τρωτά σημεία και κακόβουλο λογισμικό και την άμεση επιδιόρθωση τυχόν σφαλμάτων. Επίσης, βεβαιωθείτε ότι οι ομάδες προγραμματιστών κατανοούν τη σημασία της ασφάλειας από το σχεδιασμό κατά την ανάπτυξη προϊόντων.
  3. Πραγματοποιήστε έλεγχο κινδύνου όλων των προμηθευτών. Αυτό ξεκινά με την κατανόηση του ποιοι είναι οι προμηθευτές σας και, στη συνέχεια, τον έλεγχο εάν έχουν θεσπίσει βασικά μέτρα ασφαλείας. Αυτό θα πρέπει να επεκταθεί στις δικές τους αλυσίδες εφοδιασμού. Ελέγχετε συχνά και ελέγχετε για διαπίστευση με τα πρότυπα και τους κανονισμούς του κλάδου όπου χρειάζεται.
  4. Κρατήστε μια λίστα με όλους τους εγκεκριμένους προμηθευτές σας και να το ενημερώνετε τακτικά σύμφωνα με τα αποτελέσματα του ελέγχου σας. Ο τακτικός έλεγχος και η ενημέρωση της λίστας προμηθευτών θα επιτρέψει στους οργανισμούς να διεξάγουν διεξοδικές αξιολογήσεις κινδύνου, εντοπίζοντας πιθανές ευπάθειες και διασφαλίζοντας ότι οι προμηθευτές συμμορφώνονται με τα πρότυπα ασφάλειας στον κυβερνοχώρο.
  5. Καθιερώστε μια επίσημη πολιτική για τους προμηθευτές. Αυτό θα πρέπει να περιγράφει τις απαιτήσεις σας για τον μετριασμό του κινδύνου προμηθευτή, συμπεριλαμβανομένων τυχόν SLA που πρέπει να πληρούνται. Ως εκ τούτου, χρησιμεύει ως ένα θεμελιώδες έγγραφο που περιγράφει τις προσδοκίες, τα πρότυπα και τις διαδικασίες που πρέπει να τηρούν οι προμηθευτές προκειμένου να διασφαλίσουν την ασφάλεια της συνολικής αλυσίδας εφοδιασμού.
  6. Διαχειριστείτε τους κινδύνους πρόσβασης προμηθευτών. Επιβολή της αρχής των ελάχιστων προνομίων μεταξύ των προμηθευτών, εάν απαιτούν πρόσβαση στο εταιρικό δίκτυο. Αυτό θα μπορούσε να αναπτυχθεί ως μέρος ενός α Προσέγγιση μηδενικής εμπιστοσύνης, όπου όλοι οι χρήστες και οι συσκευές δεν είναι αξιόπιστοι μέχρι να επαληθευτούν, με συνεχή έλεγχο ταυτότητας και παρακολούθηση δικτύου που προσθέτουν ένα επιπλέον επίπεδο μετριασμού του κινδύνου.
  7. Αναπτύξτε ένα σχέδιο αντιμετώπισης περιστατικών. Σε περίπτωση χειρότερου σεναρίου, βεβαιωθείτε ότι έχετε ένα καλά προετοιμασμένο σχέδιο που πρέπει να ακολουθήσετε για να περιορίσετε την απειλή προτού προλάβει να επηρεάσει τον οργανισμό. Αυτό θα περιλαμβάνει τον τρόπο επικοινωνίας με ομάδες που εργάζονται για τους προμηθευτές σας.
  8. Εξετάστε το ενδεχόμενο εφαρμογής βιομηχανικών προτύπων. ISO 27001 και ISO 28000 έχουν πολλούς χρήσιμους τρόπους για να επιτύχετε μερικά από τα βήματα που αναφέρονται παραπάνω, προκειμένου να ελαχιστοποιήσετε τον κίνδυνο προμηθευτή.

Στις ΗΠΑ πέρυσι, υπήρξαν 40% περισσότερες επιθέσεις στην αλυσίδα εφοδιασμού από επιθέσεις που βασίζονται σε κακόβουλο λογισμικό, σύμφωνα με μία έκθεση. Κατέληξαν σε παραβιάσεις που επηρέασαν περισσότερα από 10 εκατομμύρια άτομα. Είναι καιρός να ανακτήσετε τον έλεγχο μέσω πιο αποτελεσματικής διαχείρισης κινδύνου προμηθευτή.

spot_img

Τελευταία Νοημοσύνη

spot_img

Πνευματικά δικαιώματα @ 2024 Plato Technologies Inc.