Üzleti biztonság
Nem fenntartható, ha vakon megbízik partnereiben és beszállítóiban a biztonsági pozíciójukban – itt az ideje, hogy a hatékony beszállítói kockázatkezeléssel átvegye az irányítást
25 2024 Jan • , 5 perc olvas
A világ ellátási láncokra épül. Ezek a kötőszövetek, amelyek elősegítik a globális kereskedelmet és a jólétet. Ám ezek az átfedő és egymással kapcsolatban álló vállalatok hálózatai egyre összetettebbek és átláthatatlanabbak. A legtöbb szoftver és digitális szolgáltatások nyújtását foglalja magában, vagy legalábbis valamilyen módon az online interakciókra támaszkodik. Ez veszélyezteti őket a zavarok és a kompromisszumok miatt.
Előfordulhat, hogy a kis- és középvállalkozások nem proaktívan keresik, vagy nem rendelkeznek elegendő erőforrással ahhoz, hogy kezeljék ellátási láncaik biztonságát. De vakon megbízik partnereiben és beszállítóiban kiberbiztonsági álláspontjukban a jelenlegi helyzetben nem fenntartható. Valójában (múlt) ideje komolyan foglalkozni az ellátási lánc kockázatának kezelésével.
Mi az ellátási lánc kockázata?
Az ellátási lánc kiberkockázatának számos formája lehet, kezdve ransomware valamint az adatlopástól a szolgáltatásmegtagadásig (DDoS) és a csalásig. Ezek hatással lehetnek a hagyományos beszállítókra, például a professzionális szolgáltató cégekre (pl. ügyvédekre, könyvelőkre) vagy üzleti szoftverek szállítóira. A támadók a menedzselt szolgáltatókat (MSP) is kereshetik, mert egyetlen vállalat ilyen módon történő kompromittálásával potenciálisan nagyszámú downstream ügyfélvállalkozáshoz juthatnak hozzá. Tavalyi kutatás feltárta, hogy az MSP-k 90%-a szenvedett kibertámadást az elmúlt 18 hónapban.
Íme néhány fő típusa az ellátási lánc kibertámadásainak, és ezek hogyan történnek:
- Kompromittálódott védett szoftver: A kiberbűnözők egyre merészebbek. Egyes esetekben sikerült megtalálniuk a módot a szoftverfejlesztők kompromittálására, és rosszindulatú programokat illeszteni a kódba, amelyet később eljuttatnak a későbbi ügyfelekhez. Ez történt a Kaseya ransomware kampány. Egy újabb esetben népszerű fájlátviteli szoftver A MOVEit veszélybe került egy nulladik napi sebezhetőség és a vállalati felhasználók százaitól ellopott adatok miatt, amelyek ügyfeleik millióit érintik. Eközben a a 3CX kommunikációs szoftver kompromisszuma úgy vonult be a történelembe, mint az első nyilvánosan dokumentált incidens, amikor az egyik ellátási lánc támadása a másikhoz vezetett.
- A nyílt forráskódú ellátási láncok elleni támadások: A legtöbb fejlesztő nyílt forráskódú összetevőket használ szoftverprojektjeik piacra kerülésének felgyorsítására. A fenyegetés szereplői azonban tudják ezt, és elkezdték rosszindulatú programokat beilleszteni az összetevőkbe, és elérhetővé tenni őket a népszerű adattárakba. Az egyik jelentés azt állítja éves szinten 633%-kal nőtt az ilyen támadások száma. A fenyegető szereplők gyorsan kihasználják a nyílt forráskódban található sebezhetőségeket is, amelyeket egyes felhasználók lassan javíthatnak. Ez történt, amikor egy szinte mindenütt jelenlévő eszközben kritikus hibát találtak Log4j néven ismert.
- Beszállítók visszaélése csalás miatt: Kifinomult támadások az úgynevezett üzleti e-mail kompromisszum (BEC) időnként olyan csalókból áll, akik beszállítóknak adják ki magukat, hogy rávegyék az ügyfelet arra, hogy pénzt utaljanak be nekik. A támadó általában eltéríti az egyik vagy a másik félhez tartozó e-mail fiókot, és addig figyeli az e-mailek áramlását, amíg el nem jön az idő, hogy beavatkozzon, és hamis számlát küldjön módosított banki adatokkal.
- Hitelesítési adatlopás: A támadók ellopni a bejelentkezéseket a beszállítók megsértését próbálják megsérteni a szállítót vagy ügyfeleit (akiknek hálózataihoz hozzáférhetnek). Ez történt a 2013-as masszív célsértésnél, amikor hackerek ellopták a hitelesítő adatokat az egyik kiskereskedő HVAC beszállítójától.
- Adatlopás: Sok beszállító érzékeny adatokat tárol ügyfeleiről, különösen az olyan cégek, mint az ügyvédi irodák, amelyek intim vállalati titkok birtokában vannak. Vonzó célpontot jelentenek a fenyegetettség szereplői számára, akik információra vágynak zsarolással pénzt szerezni vagy más módon.
Hogyan értékeli és csökkenti a beszállítói kockázatot?
Bármi is legyen az ellátási lánc konkrét kockázati típusa, a végeredmény ugyanaz lehet: anyagi és jó hírnév károsodás, valamint perek, működési kiesések, eladások elvesztése és dühös ügyfelek kockázata. Mégis lehetséges ezeket a kockázatokat kezelni, ha követi néhány iparági bevált gyakorlatot. Íme nyolc ötlet:
- Végezzen átvilágítást minden új beszállítónál. Ez azt jelenti, hogy ellenőrizni kell, hogy a biztonsági programjuk összhangban van-e az Ön elvárásaival, és hogy vannak-e alapintézkedéseik a fenyegetések védelmére, észlelésére és reagálására. A szoftverszállítók esetében arra is ki kell terjednie, hogy működik-e sebezhetőség-kezelő programjuk, és milyen a hírnevük termékeik minőségét illetően.
- Kezelje a nyílt forráskódú kockázatokat. Ez azt jelentheti, hogy szoftverösszetétel-elemző (SCA) eszközöket kell használni a szoftverösszetevők láthatóságának növelésére, valamint a sebezhetőségek és rosszindulatú programok folyamatos vizsgálatára, valamint az esetleges hibák azonnali javítására. Gondoskodjon arról is, hogy a fejlesztői csapatok megértsék a tervezési biztonság fontosságát a termékek fejlesztése során.
- Végezze el az összes szállító kockázati felülvizsgálatát. Ez azzal kezdődik, hogy megérti, kik a beszállítói, majd annak ellenőrzésével, hogy bevezették-e az alapvető biztonsági intézkedéseket. Ennek ki kell terjednie a saját ellátási láncaikra is. Rendszeresen végezzen auditot, és adott esetben ellenőrizze, hogy megfelel-e az ipari szabványoknak és előírásoknak.
- Vezessen listát az összes jóváhagyott beszállítójáról és ezt rendszeresen frissítse az ellenőrzés eredményeinek megfelelően. A beszállítói lista rendszeres ellenőrzése és frissítése lehetővé teszi a szervezetek számára, hogy alapos kockázatértékelést végezzenek, azonosítsák a lehetséges sebezhetőségeket, és biztosítsák, hogy a beszállítók betartsák a kiberbiztonsági szabványokat.
- Formális szabályzat kialakítása a szállítók számára. Ennek fel kell vázolnia a szállítói kockázat csökkentésére vonatkozó követelményeit, beleértve a teljesítendő SLA-kat is. Mint ilyen, alapdokumentumként szolgál, amely felvázolja azokat az elvárásokat, szabványokat és eljárásokat, amelyeket a szállítóknak be kell tartaniuk a teljes ellátási lánc biztonsága érdekében.
- Kezelje a beszállítói hozzáférési kockázatokat. Érvényesítse a legkisebb kiváltság elvét a beszállítók körében, ha hozzáférést igényelnek a vállalati hálózathoz. Ezt be lehetne vetni a Zero Trust megközelítés, ahol az ellenőrzésig minden felhasználó és eszköz megbízhatatlan, a folyamatos hitelesítés és a hálózati figyelés pedig további kockázatcsökkentési réteget biztosít.
- Készítsen incidensreagálási tervet. A legrosszabb forgatókönyv esetén győződjön meg arról, hogy jól átgondolt tervet kell követnie a fenyegetés visszaszorítása érdekében, mielőtt annak esélye lenne a szervezetre hatással. Ez magában foglalja a beszállítóinak dolgozó csapatokkal való kapcsolattartást.
- Fontolja meg az ipari szabványok alkalmazását. ISO 27001 és a ISO 28000 számos hasznos módszerrel rendelkezik a fent felsorolt lépések némelyikének eléréséhez a beszállítói kockázat minimalizálása érdekében.
Az Egyesült Államokban tavaly 40%-kal több volt az ellátási lánc támadása, mint a rosszindulatú programokon alapuló támadás egy jelentés. Több mint 10 millió személyt érintő jogsértésekhez vezettek. Ideje visszavenni az irányítást a hatékonyabb beszállítói kockázatkezelés révén.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.welivesecurity.com/en/business-security/assessing-mitigating-cybersecurity-risks-supply-chain/
- :van
- :is
- :nem
- :ahol
- 10 millió $
- 10
- 2013
- a
- Képes
- Rólunk
- felett
- gyorsul
- hozzáférés
- Szerint
- Fiók
- akkreditáció
- Elérése
- szereplők
- hozzáadásával
- tapad
- Után
- Igazítás
- Minden termék
- mellett
- Is
- megváltozott
- között
- an
- elemzés
- és a
- Másik
- bármilyen
- megfelelő
- jóváhagyott
- VANNAK
- AS
- értékeli
- értékelése
- értékelések
- At
- támadás
- Támadások
- kísérlet
- vonzó
- könyvvizsgálat
- könyvvizsgálat
- Hitelesítés
- elérhető
- vissza
- Bank
- kiindulási
- BE
- BEC
- mert
- óta
- előtt
- megkezdett
- tartozó
- BEST
- legjobb gyakorlatok
- vakon
- megsértése
- megsértésének
- Bogár
- bogarak
- épült
- üzleti
- vállalkozások
- de
- by
- Kampány
- TUD
- eset
- esetek
- Kategória
- lánc
- láncok
- esély
- ellenőrizze
- ellenőrzése
- vásárló
- ügyfél részére
- Klíma
- kód
- közlés
- Companies
- vállalat
- bonyolult
- alkatrészek
- összetétel
- kompromisszum
- veszélyeztetése
- Magatartás
- tartalmaz
- folyamatos
- ellenőrzés
- Társasági
- tudott
- kritikai
- Jelenlegi
- Ügyfelek
- cyber
- cyberattack
- Kiberbiztonság
- kár
- dátum
- DDoS
- szállított
- Denial of Service
- telepített
- Design
- részletek
- Érzékelés
- Fejlesztő
- fejlesztők
- fejlesztése
- Eszközök
- digitális
- digitális szolgáltatások
- szorgalom
- Zavar
- do
- dokumentum
- le-
- két
- e
- Hatékony
- nyolc
- bármelyik
- lehetővé
- végén
- biztosítására
- biztosítása
- különösen
- esemény
- várakozások
- Exploit
- terjed
- külön-
- megkönnyíti
- hamisítvány
- filé
- pénzügyi
- Találjon
- cégek
- legelső
- flow
- következik
- következő
- A
- hivatalos
- formák
- talált
- alapítványi
- csalás
- csalók
- gyakran
- ból ből
- Nyereség
- kap
- szerzés
- Globális
- globális kereskedelem
- Go
- történik
- történt
- Legyen
- itt
- eltérít
- történelem
- Hogyan
- How To
- HTML
- HTTPS
- Több száz
- ötletek
- azonosító
- if
- Hatás
- ütköztető
- végrehajtási
- fontosság
- in
- incidens
- eseményre adott válasz
- tartalmaz
- Beleértve
- Növelje
- egyre inkább
- valóban
- egyének
- ipar
- ipari szabványok
- információ
- kölcsönhatások
- meghitt
- bele
- számla
- vonja
- ISO
- IT
- január
- jpg
- Ismer
- ismert
- nagy
- keresztnév
- Tavaly
- Törvény
- ügyvédi irodák
- ügyvédek
- réteg
- vezető
- legkevésbé
- kapcsolattartás
- mint
- Lista
- Listázott
- keres
- elveszett
- sok
- Fő
- Gyártás
- malware
- kezelése
- sikerült
- vezetés
- kezelése
- sok
- piacára
- tömeges
- max-width
- Lehet..
- jelent
- eszközök
- Közben
- intézkedések
- találkozott
- esetleg
- millió
- Több millió
- perc
- Enyhít
- enyhítő
- enyhítés
- pénz
- ellenőrzés
- hónap
- több
- a legtöbb
- kell
- hálózat
- hálózatok
- Új
- szám
- of
- on
- ONE
- online
- átlátszatlan
- nyitva
- nyílt forráskódú
- operatív
- or
- érdekében
- szervezet
- szervezetek
- Más
- ki
- kiesések
- vázlat
- felvázolva
- felett
- átfogó
- saját
- rész
- különös
- partnerek
- párt
- múlt
- Tapasz
- Foltozás
- PHIL
- Hely
- terv
- Plató
- Platón adatintelligencia
- PlatoData
- politika
- Népszerű
- lehetséges
- potenciális
- potenciálisan
- gyakorlat
- előző
- alapelv
- kiváltság
- eljárások
- Termékek
- szakmai
- Program
- projektek
- szabadalmazott
- jólét
- védelem
- szolgáltatók
- nyilvánosan
- helyezi
- világítás
- Quick
- ransomware
- új
- tekintettel
- szabályos
- rendszeresen
- előírások
- jelentést
- képvisel
- hírnév
- szükség
- követelmények
- Tudástár
- válasz
- eredményez
- Eredmények
- Revealed
- Kritika
- jobb
- Kockázat
- kockázatkezelés
- kockázatok
- értékesítés
- azonos
- letapogatás
- forgatókönyv
- titkok
- biztonság
- Biztonsági intézkedések
- küld
- érzékeny
- súlyos
- szolgálja
- szolgáltatás
- szolgáltatók
- Szolgáltatások
- kellene
- egyetlen
- lassú
- szoftver
- szoftver komponensek
- Szoftverfejlesztők
- néhány
- néha
- kifinomult
- forrás
- forráskód
- különleges
- szabványok
- kezdődik
- Lépés
- Lépései
- stóla
- lopott
- tárolni
- Később
- ilyen
- elszenvedett
- szállító
- szállítók
- kínálat
- ellátási lánc
- Ellátási láncok
- fenntartható
- Vesz
- cél
- csapat
- mint
- hogy
- A
- lopás
- azok
- Őket
- akkor
- Ott.
- Ezek
- ők
- ezt
- fenyegetés
- fenyegetés szereplői
- Keresztül
- idő
- nak nek
- szerszám
- szerszámok
- kereskedelem
- hagyományos
- átruházás
- Bízzon
- bizakodó
- típus
- típusok
- megért
- megértés
- -ig
- Frissítések
- frissítése
- us
- használ
- hasznos
- Felhasználók
- segítségével
- rendszerint
- gyártók
- ellenőrzött
- keresztül
- láthatóság
- sérülékenységek
- sebezhetőség
- volt
- Út..
- módon
- ment
- voltak
- Mit
- amikor
- vajon
- ami
- WHO
- akinek
- lesz
- val vel
- dolgozó
- világ
- Legrosszabb
- év
- még
- te
- A te
- zephyrnet