Безопасность бизнеса

Слепо доверять своим партнерам и поставщикам в отношении их безопасности нерационально – пришло время взять под контроль посредством эффективного управления рисками поставщиков.

Январь 25 2024  •  , 5 минута. читать

Мир построен на цепочках поставок. Они представляют собой соединительную ткань, которая способствует глобальной торговле и процветанию. Но эти сети пересекающихся и взаимосвязанных компаний становятся все более сложными и непрозрачными. Большинство из них связаны с поставкой программного обеспечения и цифровых услуг или, по крайней мере, каким-то образом зависят от онлайн-взаимодействия. Это подвергает их риску разрушения и компромисса.

В частности, предприятия малого и среднего бизнеса могут не стремиться активно или не иметь ресурсов для управления безопасностью в своих цепочках поставок. Но слепо доверять своим партнерам и поставщикам в отношении их кибербезопасности не является устойчивым в нынешних условиях. Действительно, (прошло) время серьезно заняться управлением рисками в цепочке поставок.

Что такое риск цепочки поставок?

Киберриски в цепочке поставок могут принимать различные формы, от вымогателей от кражи данных до отказа в обслуживании (DDoS) и мошенничества. Они могут повлиять на традиционных поставщиков, таких как фирмы, оказывающие профессиональные услуги (например, юристы, бухгалтеры) или поставщики программного обеспечения для бизнеса. Злоумышленники также могут атаковать поставщиков управляемых услуг (MSP), поскольку, скомпрометировав таким образом одну компанию, они могут получить доступ к потенциально большому количеству нижестоящих клиентских предприятий. Исследования прошлого года выявило, что 90% MSP подверглись кибератакам за предыдущие 18 месяцев.

Вот некоторые из основных типов кибератак в цепочке поставок и то, как они происходят:

• Скомпрометированное фирменное программное обеспечение: Киберпреступники становятся смелее. В некоторых случаях им удавалось найти способ скомпрометировать разработчиков программного обеспечения и внедрить вредоносное ПО в код, который впоследствии доставлялся последующим клиентам. Вот что произошло в Кампания по вымогательству Kaseya. В более недавнем случае популярное программное обеспечение для передачи файлов MOVEit был скомпрометирован из-за уязвимости нулевого дня и кражи данных у сотен корпоративных пользователей, что затронуло миллионы их клиентов. Между тем, компрометация коммуникационного программного обеспечения 3CX вошёл в историю как первый публично задокументированный инцидент, когда одна атака на цепочку поставок привела к другой.
• Атаки на цепочки поставок с открытым исходным кодом: Большинство разработчиков используют компоненты с открытым исходным кодом, чтобы ускорить вывод своих программных проектов на рынок. Но злоумышленники знают об этом и начали вставлять вредоносное ПО в компоненты и размещать их в популярных репозиториях. В одном отчете утверждается количество таких атак увеличилось на 633% в годовом исчислении. Злоумышленники также быстро используют уязвимости в открытом исходном коде, которые некоторые пользователи могут не сразу исправлять. Вот что произошло, когда в почти повсеместном инструменте была обнаружена критическая ошибка известный как Log4j.
• Выдача себя за поставщиков в целях мошенничества: Сложные атаки, известные как компромисс деловой почты (BEC) иногда привлекают мошенников, выдающих себя за поставщиков, чтобы обманом заставить клиента перевести им деньги. Злоумышленник обычно захватывает учетную запись электронной почты, принадлежащую той или иной стороне, отслеживая потоки электронной почты до тех пор, пока не придет время вмешаться и отправить поддельный счет с измененными банковскими реквизитами.
• Кража учетных данных: Взломщики украсть логины поставщиков в попытке взломать либо поставщика, либо его клиентов (к сетям которых они могут иметь доступ). Именно это произошло во время массового взлома Target в 2013 году, когда хакеры украли учетные данные одного из поставщиков систем отопления, вентиляции и кондиционирования розничной торговли.
• Кража данных: Многие поставщики хранят конфиденциальные данные о своих клиентах, особенно такие компании, как юридические фирмы, которые посвящены в интимные корпоративные тайны. Они представляют собой привлекательную цель для злоумышленников, ищущих информацию, которую они могут монетизировать через вымогательство или другие средства.

Как вы оцениваете и снижаете риски поставщиков?

Каким бы ни был конкретный тип риска в цепочке поставок, конечный результат может быть одним и тем же: финансовый и репутационный ущерб, а также риск судебных исков, сбоев в работе, упущенных продаж и недовольства клиентов. Тем не менее, этими рисками можно управлять, следуя некоторым лучшим отраслевым практикам. Вот восемь идей:

1. Проведите комплексную проверку любого нового поставщика. Это означает, что их программа безопасности соответствует вашим ожиданиям, а также наличие базовых мер для защиты, обнаружения и реагирования на угрозы. Для поставщиков программного обеспечения это также должно касаться того, есть ли у них программа управления уязвимостями и какова их репутация в отношении качества их продуктов.
2. Управляйте рисками открытого исходного кода. Это может означать использование инструментов анализа состава программного обеспечения (SCA) для получения информации о компонентах программного обеспечения, а также непрерывное сканирование на наличие уязвимостей и вредоносного ПО, а также оперативное исправление любых ошибок. Также убедитесь, что команды разработчиков понимают важность обеспечения безопасности при разработке продуктов.
3. Проведите анализ рисков всех поставщиков. Это начинается с понимания того, кто ваши поставщики, а затем проверки наличия у них базовых мер безопасности. Это должно распространяться на их собственные цепочки поставок. Регулярно проводите аудит и проверяйте соответствие отраслевым стандартам и правилам, где это необходимо.
4. Ведите список всех одобренных вами поставщиков. и регулярно обновляйте его в соответствии с результатами вашего одитинга. Регулярный аудит и обновление списка поставщиков позволит организациям проводить тщательную оценку рисков, выявлять потенциальные уязвимости и обеспечивать соблюдение поставщиками стандартов кибербезопасности.
5. Установите официальную политику для поставщиков. В нем должны быть изложены ваши требования по снижению рисков поставщиков, включая любые соглашения об уровне обслуживания, которые должны соблюдаться. По сути, он служит основополагающим документом, в котором излагаются ожидания, стандарты и процедуры, которых поставщики должны придерживаться, чтобы обеспечить безопасность всей цепочки поставок.
6. Управляйте рисками доступа поставщиков. Обеспечьте соблюдение принципа наименьших привилегий среди поставщиков, если им требуется доступ к корпоративной сети. Это может быть развернуто как часть Подход нулевого доверия, где всем пользователям и устройствам не доверяют до тех пор, пока они не будут проверены, а непрерывная аутентификация и мониторинг сети добавляют дополнительный уровень снижения рисков.
7. Разработайте план реагирования на инцидент. В случае наихудшего сценария убедитесь, что у вас есть хорошо отработанный план, которому нужно следовать, чтобы сдержать угрозу, прежде чем она сможет повлиять на организацию. Это будет включать в себя способы взаимодействия с командами, работающими на ваших поставщиков.
8. Рассмотрите возможность внедрения отраслевых стандартов. ISO 27001 и ISO 28000 у вас есть множество полезных способов выполнить некоторые из перечисленных выше шагов, чтобы минимизировать риск поставщика.

По данным, в прошлом году в США было на 40% больше атак на цепочки поставок, чем атак с использованием вредоносного ПО. один отчет. В результате нарушений пострадали более 10 миллионов человек. Пришло время вернуть контроль посредством более эффективного управления рисками поставщиков.