Forretningssikkerhed
Det er ikke holdbart at stole blindt på dine partnere og leverandører på deres sikkerhedsposition – det er tid til at tage kontrol gennem effektiv leverandørrisikostyring
Januar 25 2024 • , 5 min. Læs
Verden er bygget på forsyningskæder. De er det bindevæv, der letter global handel og velstand. Men disse netværk af overlappende og indbyrdes relaterede virksomheder er i stigende grad komplekse og uigennemsigtige. De fleste involverer levering af software og digitale tjenester, eller er i det mindste på en eller anden måde afhængige af online-interaktioner. Det sætter dem i fare for forstyrrelser og kompromiser.
Især SMB'er søger muligvis ikke proaktivt eller har ressourcerne til at styre sikkerheden i deres forsyningskæder. Men blindt stole på dine partnere og leverandører på deres cybersikkerhedsposition er ikke bæredygtig i det nuværende klima. Det er faktisk (tidligere) tid til at gøre alvor af at styre forsyningskæderisikoen.
Hvad er forsyningskæderisiko?
Forsyningskædens cyberrisici kan antage mange former, fra ransomware og datatyveri til denial of service (DDoS) og bedrageri. De kan påvirke traditionelle leverandører såsom professionelle servicevirksomheder (f.eks. advokater, revisorer) eller leverandører af forretningssoftware. Angribere kan også gå efter managed service providers (MSP'er), fordi ved at kompromittere en enkelt virksomhed på denne måde, kan de få adgang til et potentielt stort antal downstream-klientvirksomheder. Forskning fra sidste år afslørede, at 90 % af MSP'erne blev udsat for et cyberangreb i de foregående 18 måneder.
Her er nogle af hovedtyperne af cyberangreb i forsyningskæden, og hvordan de sker:
- Kompromitteret proprietær software: Cyberkriminelle bliver dristigere. I nogle tilfælde har de været i stand til at finde en måde at kompromittere softwareudviklere og indsætte malware i kode, der efterfølgende leveres til downstream-kunder. Dette er, hvad der skete i Kaseya ransomware-kampagne. I et nyere tilfælde, populær filoverførselssoftware MOVEit blev kompromitteret af en nul-dages sårbarhed og data stjålet fra hundredvis af virksomhedsbrugere, hvilket påvirker millioner af deres kunder. I mellemtiden kompromittering af 3CX-kommunikationssoftwaren gik over i historien som den første nogensinde offentligt dokumenterede hændelse af et forsyningskædeangreb, der førte til et andet.
- Angreb på open source forsyningskæder: De fleste udviklere bruger open source-komponenter til at fremskynde tiden til markedet for deres softwareprojekter. Men trusselsaktører ved dette og er begyndt at indsætte malware i komponenter og gøre dem tilgængelige i populære depoter. En rapport hævder der har været en stigning på 633 % år-til-år i sådanne angreb. Trusselsaktører er også hurtige til at udnytte sårbarheder i åben kildekode, som nogle brugere kan være langsomme til at rette. Dette er, hvad der skete, da en kritisk fejl blev fundet i et næsten allestedsnærværende værktøj kendt som Log4j.
- Efterligning af leverandører for bedrageri: Sofistikerede angreb kendt som kompromis med forretnings-e-mail (BEC) involverer nogle gange svindlere, der udgiver sig for at være leverandører for at narre en klient til at overføre penge til dem. Angriberen vil normalt kapre en e-mail-konto, der tilhører den ene eller den anden part, og overvåge e-mail-strømme, indtil tiden er inde til at træde ind og sende en falsk faktura med ændrede bankoplysninger.
- Legitimationstyveri: angribere stjæle logins af leverandører i et forsøg på at krænke enten leverandøren eller deres kunder (hvis netværk de kan have adgang til). Dette er, hvad der skete i det massive målbrud i 2013 hvornår hackere stjal legitimationsoplysningerne af en af forhandlerens VVS-leverandører.
- Datatyveri: Mange leverandører gemmer følsomme data om deres kunder, især virksomheder som advokatfirmaer, der er fortrolige med intime virksomhedshemmeligheder. De repræsenterer et attraktivt mål for trusselsaktører, der leder efter information, de kan tjene penge via afpresning eller andre midler.
Hvordan vurderer og mindsker du leverandørrisiko?
Uanset den specifikke risikotype i forsyningskæden, kan slutresultatet være det samme: økonomisk skade og omdømmeskader og risikoen for retssager, driftsafbrydelser, tabt salg og vrede kunder. Alligevel er det muligt at styre disse risici ved at følge nogle af industriens bedste praksis. Her er otte ideer:
- Udfør due diligence på enhver ny leverandør. Det betyder at kontrollere, at deres sikkerhedsprogram stemmer overens med dine forventninger, og at de har baseline-foranstaltninger på plads til trusselsbeskyttelse, -detektion og -respons. For softwareleverandører bør det også strække sig til, om de har et sårbarhedsstyringsprogram på plads, og hvad deres omdømme er med hensyn til kvaliteten af deres produkter.
- Administrer open source-risici. Dette kan betyde brug af værktøjer til analyse af softwaresammensætning (SCA) til at få synlighed i softwarekomponenter sammen med kontinuerlig scanning for sårbarheder og malware og hurtig patchning af eventuelle fejl. Sørg også for, at udviklerteams forstår vigtigheden af design-sikkerhed, når de udvikler produkter.
- Foretag en risikogennemgang af alle leverandører. Dette starter med at forstå, hvem dine leverandører er, og derefter kontrollere, om de har grundlæggende sikkerhedsforanstaltninger på plads. Dette bør udvides til deres egne forsyningskæder. Revider hyppigt og kontroller for akkreditering med industristandarder og regler, hvor det er relevant.
- Hold en liste over alle dine godkendte leverandører og opdatere dette regelmæssigt i henhold til resultaterne af din revision. Regelmæssig revision og opdatering af leverandørlisten vil sætte organisationer i stand til at udføre grundige risikovurderinger, identificere potentielle sårbarheder og sikre, at leverandører overholder cybersikkerhedsstandarder.
- Etabler en formel politik for leverandører. Dette bør skitsere dine krav til reduktion af leverandørrisiko, herunder eventuelle SLA'er, der skal opfyldes. Som sådan fungerer det som et grundlæggende dokument, der beskriver forventninger, standarder og procedurer, som leverandører skal overholde for at sikre sikkerheden i den overordnede forsyningskæde.
- Administrer risici for leverandøradgang. Håndhæv et princip om mindste privilegium blandt leverandører, hvis de kræver adgang til virksomhedens netværk. Dette kunne implementeres som en del af en Nul tillid tilgang, hvor alle brugere og enheder ikke er tillid til, indtil de er verificeret, med kontinuerlig godkendelse og netværksovervågning, der tilføjer et ekstra lag af risikoreduktion.
- Udarbejd en hændelsesplan. I tilfælde af et worst case-scenarie, sørg for, at du har en velindøvet plan at følge for at begrænse truslen, før den har en chance for at påvirke organisationen. Dette vil omfatte, hvordan du kan samarbejde med teams, der arbejder for dine leverandører.
- Overvej at implementere industristandarder. ISO 27001 , ISO 28000 har masser af nyttige måder at opnå nogle af de trin, der er anført ovenfor, for at minimere leverandørrisikoen.
I USA var der sidste år 40 % flere forsyningskædeangreb end malware-baserede angreb, ifølge en rapport. De resulterede i brud på over 10 millioner individer. Det er tid til at tage kontrollen tilbage gennem mere effektiv leverandørrisikostyring.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.welivesecurity.com/en/business-security/assessing-mitigating-cybersecurity-risks-supply-chain/
- :har
- :er
- :ikke
- :hvor
- $ 10 millioner
- 10
- 2013
- a
- I stand
- Om
- over
- fremskynde
- adgang
- Ifølge
- Konto
- akkreditering
- opnå
- aktører
- tilføje
- klæbe
- Efter
- Justerer
- Alle
- langs med
- også
- ændret
- blandt
- an
- analyse
- ,
- En anden
- enhver
- passende
- godkendt
- ER
- AS
- vurdere
- Vurdering
- vurderinger
- At
- angribe
- Angreb
- forsøg
- attraktivt
- revision
- revision
- Godkendelse
- til rådighed
- tilbage
- Bank
- Baseline
- BE
- BEC
- fordi
- været
- før
- begyndt
- tilhører
- BEDSTE
- bedste praksis
- blindt
- brud
- brud
- Bug
- bugs
- bygget
- virksomhed
- virksomheder
- men
- by
- Kampagne
- CAN
- tilfælde
- tilfælde
- Boligtype
- kæde
- kæder
- chance
- kontrollere
- kontrol
- kunde
- kunder
- Klima
- kode
- Kommunikation
- Virksomheder
- selskab
- komplekse
- komponenter
- sammensætning
- kompromis
- at gå på kompromis
- Adfærd
- indeholder
- kontinuerlig
- kontrol
- Corporate
- kunne
- kritisk
- Nuværende
- Kunder
- Cyber
- Cyber angreb
- Cybersecurity
- skader
- data
- DDoS
- leveret
- Denial of Service
- indsat
- Design
- detaljer
- Detektion
- Udvikler
- udviklere
- udvikling
- Enheder
- digital
- digitale tjenester
- diligence
- Forstyrrelse
- do
- dokumentet
- ned
- grund
- e
- Effektiv
- otte
- enten
- muliggøre
- ende
- sikre
- sikring
- især
- begivenhed
- forventninger
- Exploit
- udvide
- ekstra
- letter
- falsk
- File (Felt)
- finansielle
- Finde
- firmaer
- første nogensinde
- strømme
- følger
- efter
- Til
- formel
- formularer
- fundet
- grundlæggende
- bedrageri
- svindlere
- hyppigt
- fra
- Gevinst
- få
- få
- Global
- global handel
- Go
- ske
- skete
- Have
- link.
- hijack
- historie
- Hvordan
- How To
- HTML
- HTTPS
- Hundreder
- ideer
- identificere
- if
- KIMOs Succeshistorier
- påvirker
- gennemføre
- betydning
- in
- hændelse
- hændelsesrespons
- omfatter
- Herunder
- Forøg
- stigende
- faktisk
- enkeltpersoner
- industrien
- industristandarder
- oplysninger
- interaktioner
- intime
- ind
- faktura
- involvere
- ISO
- IT
- Jan
- jpg
- Kend
- kendt
- stor
- Efternavn
- Sidste år
- Lov
- advokatfirmaer
- Advokater
- lag
- førende
- mindst
- forbind
- ligesom
- Liste
- Børsnoterede
- leder
- tabte
- masser
- Main
- Making
- malware
- administrere
- lykkedes
- ledelse
- styring
- mange
- Marked
- massive
- max-bredde
- Kan..
- betyde
- midler
- I mellemtiden
- foranstaltninger
- mødte
- måske
- million
- millioner
- minut
- afbøde
- formildende
- afbødning
- penge
- overvågning
- måned
- mere
- mest
- skal
- netværk
- net
- Ny
- nummer
- of
- on
- ONE
- online
- uigennemsigtig
- åbent
- open source
- operationelle
- or
- ordrer
- organisation
- organisationer
- Andet
- ud
- udfald
- skitse
- Disposition
- i løbet af
- samlet
- egen
- del
- særlig
- partnere
- part
- forbi
- patch
- lappe
- PHIL
- Place
- fly
- plato
- Platon Data Intelligence
- PlatoData
- politik
- Populær
- mulig
- potentiale
- potentielt
- praksis
- tidligere
- princippet
- privilegium
- procedurer
- Produkter
- professionel
- Program
- projekter
- proprietære
- velstand
- beskyttelse
- udbydere
- offentligt
- sætter
- kvalitet
- Hurtig
- ransomware
- nylige
- om
- fast
- regelmæssigt
- regler
- indberette
- repræsentere
- omdømme
- kræver
- Krav
- Ressourcer
- svar
- resultere
- Resultater
- Revealed
- gennemgå
- højre
- Risiko
- risikostyring
- risici
- salg
- samme
- scanning
- scenarie
- hemmeligheder
- sikkerhed
- Sikkerhedsforanstaltninger
- send
- følsom
- alvorlig
- tjener
- tjeneste
- service-udøvere
- Tjenester
- bør
- enkelt
- langsom
- Software
- software komponenter
- Softwareudviklere
- nogle
- sommetider
- sofistikeret
- Kilde
- kildekode
- specifikke
- standarder
- starter
- Trin
- Steps
- Stole
- stjålet
- butik
- Efterfølgende
- sådan
- lidt
- leverandør
- leverandører
- forsyne
- forsyningskæde
- Forsyningskæder
- bæredygtig
- Tag
- mål
- hold
- end
- at
- tyveri
- deres
- Them
- derefter
- Der.
- Disse
- de
- denne
- trussel
- trusselsaktører
- Gennem
- tid
- til
- værktøj
- værktøjer
- handle
- traditionelle
- overførsel
- Stol
- tillidsfuld
- typen
- typer
- forstå
- forståelse
- indtil
- Opdatering
- opdatering
- us
- brug
- nyttigt
- brugere
- ved brug af
- sædvanligvis
- leverandører
- verificeres
- via
- synlighed
- Sårbarheder
- sårbarhed
- var
- Vej..
- måder
- gik
- var
- Hvad
- hvornår
- hvorvidt
- som
- WHO
- hvis
- vilje
- med
- arbejder
- world
- Værst
- år
- endnu
- Du
- Din
- zephyrnet