امنیت کسب و کار
اعتماد کورکورانه به شرکا و تامین کنندگان در وضعیت امنیتی آنها پایدار نیست - زمان آن رسیده است که کنترل را از طریق مدیریت ریسک تامین کننده موثر در دست بگیرید.
25 ژان 2024 • , 5 دقیقه خواندن
جهان بر اساس زنجیره تامین ساخته شده است. آنها بافت پیوندی هستند که تجارت و رونق جهانی را تسهیل می کنند. اما این شبکه های شرکت های همپوشانی و مرتبط با یکدیگر به طور فزاینده ای پیچیده و مبهم هستند. بیشتر آنها شامل عرضه نرم افزار و خدمات دیجیتال هستند، یا حداقل به نوعی به تعاملات آنلاین متکی هستند. که آنها را در معرض خطر اختلال و سازش قرار می دهد.
به ویژه SMB ها ممکن است فعالانه به دنبال مدیریت امنیت در زنجیره تامین خود نباشند یا منابع لازم را نداشته باشند. اما کورکورانه اعتماد به شرکا و تامین کنندگان در وضعیت امنیت سایبری آنها در شرایط جوی کنونی پایدار نیست. در واقع، زمان (گذشته) برای مدیریت ریسک زنجیره تامین است.
ریسک زنجیره تامین چیست؟
خطرات سایبری زنجیره تامین می تواند اشکال مختلفی داشته باشد باجافزار و سرقت اطلاعات تا انکار سرویس (DDoS) و کلاهبرداری. آنها ممکن است بر تامین کنندگان سنتی مانند شرکت های خدمات حرفه ای (مانند وکلا، حسابداران)، یا فروشندگان نرم افزارهای تجاری تاثیر بگذارند. مهاجمان همچنین ممکن است به دنبال ارائه دهندگان خدمات مدیریت شده (MSPs) بروند، زیرا با به خطر انداختن یک شرکت واحد از این طریق، آنها می توانند به تعداد بالقوه زیادی از مشاغل مشتری پایین دستی دسترسی پیدا کنند. تحقیقات سال گذشته نشان داد که 90 درصد از MSP ها در 18 ماه گذشته مورد حمله سایبری قرار گرفته اند.
در اینجا برخی از انواع اصلی حملات سایبری زنجیره تامین و نحوه وقوع آنها آورده شده است:
- نرم افزار اختصاصی در معرض خطر: مجرمان سایبری جسورتر می شوند. در برخی موارد، آنها توانستهاند راهی برای به خطر انداختن توسعهدهندگان نرمافزار بیابند و بدافزار را در کد وارد کنند که متعاقباً به مشتریان پاییندستی تحویل داده میشود. این چیزی است که در کمپین باج افزار Kaseya. در مورد جدیدتر، نرم افزار محبوب انتقال فایل MOVEit به خطر افتاد توسط یک آسیبپذیری روز صفر و دادههای به سرقت رفته از صدها کاربر شرکتی که میلیونها مشتری آنها را تحت تأثیر قرار میدهد. در همین حال، به خطر افتادن نرم افزار ارتباطی 3CX به عنوان اولین حادثه ثبت شده عمومی از یک حمله زنجیره تامین منجر به دیگری در تاریخ ثبت شد.
- حملات به زنجیره های تامین منبع باز: اکثر توسعه دهندگان از اجزای منبع باز برای تسریع زمان برای بازاریابی پروژه های نرم افزاری خود استفاده می کنند. اما عوامل تهدید این را می دانند و شروع به وارد کردن بدافزار به اجزا و در دسترس قرار دادن آنها در مخازن محبوب کرده اند. یک گزارش ادعا می کند افزایش 633 درصدی سال به سال در چنین حملاتی وجود داشته است. عوامل تهدید همچنین به سرعت از آسیبپذیریهای موجود در کد منبع باز سوءاستفاده میکنند که ممکن است برخی از کاربران در اصلاح آنها کند باشند. این همان چیزی است که زمانی اتفاق افتاد که یک باگ مهم در یک ابزار تقریباً در همه جا یافت شد معروف به Log4j.
- جعل هویت تامین کنندگان برای کلاهبرداری: حملات پیچیده معروف به سازش ایمیل تجاری (BEC) گاهی اوقات کلاهبردارانی را درگیر میکند که جعل هویت تامینکنندگان به منظور فریب دادن مشتری به آنها پول میدهند. مهاجم معمولاً یک حساب ایمیل متعلق به یک طرف یا طرف دیگر را ربوده و جریان ایمیل را تا زمانی که زمان مناسب برای ورود و ارسال یک فاکتور جعلی با جزئیات بانکی تغییر یافته باشد، زیر نظر دارد.
- سرقت مدارک: مهاجمین لاگین ها را بدزدید تامین کنندگان در تلاش برای نفوذ به تامین کننده یا مشتریان آنها (که ممکن است به شبکه های آنها دسترسی داشته باشند). این همان چیزی است که در نقض گسترده هدف در سال 2013 رخ داد هکرها اعتبارنامه را دزدیدند یکی از تامین کنندگان تهویه مطبوع خرده فروش.
- سرقت اطلاعات: بسیاری از تامین کنندگان داده های حساس را روی مشتریان خود ذخیره می کنند، به ویژه شرکت هایی مانند شرکت های حقوقی که از اسرار محرمانه شرکت مطلع هستند. آنها هدف جذابی برای عوامل تهدید کننده هستند که به دنبال اطلاعاتی هستند که می توانند کسب درآمد از طریق اخاذی یا وسایل دیگر
چگونه ریسک تامین کننده را ارزیابی و کاهش می دهید؟
نوع ریسک زنجیره تامین خاص هرچه باشد، نتیجه نهایی می تواند یکسان باشد: آسیب مالی و اعتبار و خطر دعاوی حقوقی، قطعی عملیات، فروش از دست رفته و مشتریان عصبانی. با این حال، مدیریت این ریسک ها با پیروی از برخی از بهترین شیوه های صنعت امکان پذیر است. در اینجا هشت ایده وجود دارد:
- در مورد هر تامین کننده جدید بررسی لازم را انجام دهید. این بدان معناست که بررسی کنید برنامه امنیتی آنها با انتظارات شما مطابقت دارد، و آنها اقدامات اولیه را برای محافظت، شناسایی و پاسخ تهدید در نظر گرفته اند. برای تامینکنندگان نرمافزار باید به این موضوع نیز توجه شود که آیا برنامهای برای مدیریت آسیبپذیری در اختیار دارند یا خیر و شهرت آنها در مورد کیفیت محصولاتشان چیست.
- ریسک های منبع باز را مدیریت کنید. این ممکن است به معنای استفاده از ابزارهای تجزیه و تحلیل ترکیب نرمافزار (SCA) برای مشاهده اجزای نرمافزار، در کنار اسکن مداوم برای آسیبپذیریها و بدافزارها، و اصلاح سریع هر گونه اشکال باشد. همچنین اطمینان حاصل کنید که تیم های توسعه دهنده اهمیت امنیت را با طراحی در هنگام توسعه محصولات درک می کنند.
- بررسی ریسک همه تامین کنندگان را انجام دهید. این با درک اینکه تامین کنندگان شما چه کسانی هستند شروع می شود و سپس بررسی می شود که آیا آنها اقدامات امنیتی پایه را انجام داده اند یا خیر. این باید به زنجیره های تامین خود آنها نیز گسترش یابد. مکرراً ممیزی کنید و در صورت لزوم اعتبار را با استانداردها و مقررات صنعتی بررسی کنید.
- فهرستی از تمام تامین کنندگان مورد تایید خود را نگه دارید و این را به طور مرتب با توجه به نتایج حسابرسی خود به روز کنید. ممیزی منظم و بهروزرسانی فهرست تأمینکنندگان، سازمانها را قادر میسازد تا ارزیابیهای کامل ریسک را انجام دهند، آسیبپذیریهای احتمالی را شناسایی کنند و اطمینان حاصل کنند که تأمینکنندگان استانداردهای امنیت سایبری را رعایت میکنند.
- یک خط مشی رسمی برای تامین کنندگان تعیین کنید. این باید الزامات شما را برای کاهش ریسک تامین کننده، از جمله هر گونه SLA که باید برآورده شود، مشخص کند. به این ترتیب، این سند به عنوان یک سند اساسی خدمت می کند که انتظارات، استانداردها و رویه هایی را که تامین کنندگان باید به منظور تضمین امنیت زنجیره تامین کلی رعایت کنند، ارائه می کند.
- ریسک های دسترسی تامین کننده را مدیریت کنید. در صورت نیاز به دسترسی به شبکه شرکت، اصل کمترین امتیاز را در میان تامین کنندگان اعمال کنید. این می تواند به عنوان بخشی از a مستقر شود رویکرد اعتماد صفر، که در آن همه کاربران و دستگاهها تا زمانی که تأیید نشوند قابل اعتماد نیستند، با احراز هویت مداوم و نظارت بر شبکه یک لایه اضافی از کاهش خطر اضافه میکند.
- یک طرح واکنش به حادثه ایجاد کنید. در صورت بروز بدترین سناریو، اطمینان حاصل کنید که یک برنامه خوب تمرین شده برای دنبال کردن برای مهار تهدید قبل از اینکه فرصتی برای تأثیرگذاری بر سازمان داشته باشد دارید. این شامل نحوه ارتباط با تیم هایی است که برای تامین کنندگان شما کار می کنند.
- اجرای استانداردهای صنعت را در نظر بگیرید. ISO 27001 و ISO 28000 راه های مفید زیادی برای دستیابی به برخی از مراحل ذکر شده در بالا به منظور به حداقل رساندن ریسک تامین کننده دارند.
بر اساس گزارش ها، در سال گذشته در ایالات متحده، حملات زنجیره تامین 40 درصد بیشتر از حملات مبتنی بر بدافزار بوده است. یک گزارش. آنها منجر به نقض بیش از 10 میلیون نفر شدند. زمان آن رسیده است که کنترل را از طریق مدیریت ریسک تامین کننده موثرتر به دست آوریم.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.welivesecurity.com/en/business-security/assessing-mitigating-cybersecurity-risks-supply-chain/
- : دارد
- :است
- :نه
- :جایی که
- 10 میلیون دلار
- 10
- 2013
- a
- قادر
- درباره ما
- بالاتر
- شتاب دادن
- دسترسی
- مطابق
- حساب
- مجوز رسمی
- رسیدن
- بازیگران
- اضافه کردن
- پایبند بودن
- پس از
- تراز می کند
- معرفی
- در کنار
- همچنین
- تغییر
- در میان
- an
- تحلیل
- و
- دیگر
- هر
- مناسب
- تایید کرد
- هستند
- AS
- ارزیابی کنید
- ارزیابی
- ارزیابی ها
- At
- حمله
- حمله
- کوشش
- جالب
- حسابرسی
- حسابرسی
- تصدیق
- در دسترس
- به عقب
- بانک
- خط مقدم
- BE
- BEC
- زیرا
- بوده
- قبل از
- شروع شد
- متعلق به
- بهترین
- بهترین شیوه
- کورکورانه
- شکاف
- نقض
- اشکال
- اشکالات
- ساخته
- کسب و کار
- کسب و کار
- اما
- by
- کمپین بین المللی حقوق بشر
- CAN
- مورد
- موارد
- دسته بندی
- زنجیر
- زنجیر
- شانس
- بررسی
- بررسی
- مشتری
- مشتریان
- اقلیم
- رمز
- ارتباط
- شرکت
- شرکت
- پیچیده
- اجزاء
- ترکیب
- سازش
- مصالحه
- رفتار
- شامل
- مداوم
- کنترل
- شرکت
- میتوانست
- بحرانی
- جاری
- مشتریان
- سایبر
- حمله سایبری
- امنیت سایبری
- خسارت
- داده ها
- از DDoS
- تحویل داده
- خود داری از خدمات
- مستقر
- طرح
- جزئیات
- کشف
- توسعه دهنده
- توسعه دهندگان
- در حال توسعه
- دستگاه ها
- دیجیتال
- خدمات دیجیتال
- سخت کوشی
- قطع
- do
- سند
- پایین
- دو
- e
- موثر
- هشت
- هر دو
- پست الکترونیک
- قادر ساختن
- پایان
- اطمینان حاصل شود
- حصول اطمینان از
- به خصوص
- واقعه
- انتظارات
- بهره برداری
- گسترش
- اضافی
- تسهیل می کند
- جعلی
- پرونده
- مالی
- پیدا کردن
- شرکت ها
- برای اولین بار
- جریانها
- به دنبال
- پیروی
- برای
- رسمی
- اشکال
- یافت
- بنیادین
- تقلب
- کلاهبرداران
- غالبا
- از جانب
- افزایش
- دریافت کنید
- گرفتن
- جهانی
- تجارت جهانی
- Go
- رخ دادن
- اتفاق افتاده است
- آیا
- اینجا کلیک نمایید
- ربودن
- تاریخ
- چگونه
- چگونه
- HTML
- HTTPS
- صدها نفر
- ایده ها
- شناسایی
- if
- تأثیر
- تأثیرگذاری
- اجرای
- اهمیت
- in
- حادثه
- پاسخ حادثه
- شامل
- از جمله
- افزایش
- به طور فزاینده
- در واقع
- افراد
- صنعت
- استانداردهای صنعت
- اطلاعات
- فعل و انفعالات
- صمیمی
- به
- فاکتور
- شامل
- ISO
- IT
- ژان
- JPG
- دانستن
- شناخته شده
- بزرگ
- نام
- پارسال
- قانون
- شرکت های حقوقی
- وکلا
- لایه
- برجسته
- کمترین
- ارتباط برقرار کردن
- پسندیدن
- فهرست
- ذکر شده
- به دنبال
- از دست رفته
- مقدار زیادی
- اصلی
- ساخت
- نرم افزارهای مخرب
- مدیریت
- اداره می شود
- مدیریت
- مدیریت
- بسیاری
- بازار
- عظیم
- حداکثر عرض
- ممکن است..
- متوسط
- به معنی
- در ضمن
- معیارهای
- با
- قدرت
- میلیون
- میلیون ها نفر
- دقیقه
- کاهش
- تسکین دهنده
- کاهش
- پول
- نظارت بر
- ماه
- بیش
- اکثر
- باید
- شبکه
- شبکه
- جدید
- عدد
- of
- on
- ONE
- آنلاین
- مات
- باز کن
- منبع باز
- قابل استفاده
- or
- سفارش
- کدام سازمان ها
- سازمان های
- دیگر
- خارج
- خاموشی
- طرح کلی
- طرح کلی
- روی
- به طور کلی
- خود
- بخش
- ویژه
- شرکای
- حزب
- گذشته
- وصله
- پچ کردن
- PHIL
- محل
- برنامه
- افلاطون
- هوش داده افلاطون
- PlatoData
- سیاست
- محبوب
- ممکن
- پتانسیل
- بالقوه
- شیوه های
- قبلی
- اصل
- امتیاز
- روش
- محصولات
- حرفه ای
- برنامه
- پروژه ها
- اختصاصی
- رفاه
- حفاظت
- ارائه دهندگان
- عمومی
- قرار می دهد
- کیفیت
- سریع
- باجافزار
- اخیر
- با توجه
- منظم
- به طور منظم
- مقررات
- گزارش
- نشان دادن
- شهرت
- نیاز
- مورد نیاز
- منابع
- پاسخ
- نتیجه
- نتایج
- نشان داد
- این فایل نقد می نویسید:
- راست
- خطر
- مدیریت ریسک
- خطرات
- حراجی
- همان
- پویش
- سناریو
- اسرار
- تیم امنیت لاتاری
- اقدامات امنیتی
- ارسال
- حساس
- جدی
- خدمت
- سرویس
- ارائه دهندگان خدمات
- خدمات
- باید
- تنها
- کند
- نرم افزار
- اجزای نرم افزار
- توسعه دهندگان نرم افزار
- برخی از
- گاهی
- مصنوعی
- منبع
- کد منبع
- خاص
- استانداردهای
- شروع می شود
- گام
- مراحل
- دزدیده شد
- به سرقت رفته
- opbevare
- متعاقبا
- چنین
- رنج
- تهیه کننده
- تامین کنندگان
- عرضه
- زنجیره تامین
- زنجیره تامین
- قابل تحمل
- گرفتن
- هدف
- تیم ها
- نسبت به
- که
- La
- سرقت
- شان
- آنها
- سپس
- آنجا.
- اینها
- آنها
- این
- تهدید
- بازیگران تهدید
- از طریق
- زمان
- به
- ابزار
- ابزار
- تجارت
- سنتی
- انتقال
- اعتماد
- اعتماد کردن
- نوع
- انواع
- فهمیدن
- درک
- تا
- بروزرسانی
- به روز رسانی
- us
- استفاده کنید
- مفید
- کاربران
- با استفاده از
- معمولا
- فروشندگان
- تایید
- از طريق
- دید
- آسیب پذیری ها
- آسیب پذیری
- بود
- مسیر..
- راه
- رفت
- بود
- چی
- چه زمانی
- چه
- که
- WHO
- که
- اراده
- با
- کارگر
- جهان
- بدترین
- سال
- هنوز
- شما
- شما
- زفیرنت