Sicurezza aziendale
Affidarsi ciecamente ai propri partner e fornitori riguardo al loro atteggiamento in materia di sicurezza non è sostenibile: è tempo di assumere il controllo attraverso un'efficace gestione del rischio dei fornitori
Gennaio 25 2024 · XNUMX€ , 5 minuto. leggere
Il mondo è costruito sulle catene di fornitura. Sono il tessuto connettivo che facilita il commercio globale e la prosperità. Ma queste reti di aziende sovrapposte e interconnesse sono sempre più complesse e opache. La maggior parte implica la fornitura di software e servizi digitali, o almeno dipende in qualche modo dalle interazioni online. Ciò li mette a rischio di interruzioni e compromessi.
Le PMI in particolare potrebbero non cercare in modo proattivo o non avere le risorse per gestire la sicurezza nelle loro catene di fornitura. Ma alla cieca fidarsi dei propri partner e fornitori riguardo al loro atteggiamento in materia di sicurezza informatica non è sostenibile nel clima attuale. In effetti, è (passato) il momento di prendere sul serio la gestione del rischio della catena di fornitura.
Che cos'è il rischio della catena di approvvigionamento?
I rischi informatici della catena di fornitura potrebbero assumere molte forme, da ransomware furto di dati, negazione del servizio (DDoS) e frode. Possono avere un impatto sui fornitori tradizionali come le società di servizi professionali (ad esempio, avvocati, commercialisti) o fornitori di software aziendale. Gli aggressori possono anche perseguire i fornitori di servizi gestiti (MSP), perché compromettendo in questo modo una singola azienda, potrebbero ottenere l’accesso a un numero potenzialmente elevato di attività clienti a valle. Ricerca dell'anno scorso ha rivelato che il 90% degli MSP ha subito un attacco informatico negli ultimi 18 mesi.
Ecco alcuni dei principali tipi di attacchi informatici alla supply chain e come si verificano:
- Software proprietario compromesso: I criminali informatici stanno diventando più audaci. In alcuni casi, sono riusciti a trovare un modo per compromettere gli sviluppatori di software e inserire malware nel codice che viene successivamente consegnato ai clienti a valle. Questo è quello che è successo nel Campagna ransomware Kaseya. In un caso più recente, il popolare software di trasferimento file MOVEè stato compromesso da una vulnerabilità zero-day e dai dati rubati a centinaia di utenti aziendali, colpendo milioni di clienti. Nel frattempo, il compromissione del software di comunicazione 3CX è passato alla storia come il primo incidente documentato pubblicamente in cui un attacco alla catena di approvvigionamento ne ha portato a un altro.
- Attacchi alle catene di fornitura open source: La maggior parte degli sviluppatori utilizza componenti open source per accelerare il time-to-market dei propri progetti software. Ma gli autori delle minacce lo sanno e hanno iniziato a inserire malware nei componenti e a renderli disponibili nei repository più diffusi. Un rapporto sostiene si è verificato un aumento del 633% su base annua di tali attacchi. Gli autori delle minacce sono anche pronti a sfruttare le vulnerabilità nel codice open source che alcuni utenti potrebbero essere lenti a correggere. Questo è quello che è successo quando è stato trovato un bug critico in uno strumento quasi onnipresente noto come Log4j.
- Impersonare fornitori per frode: Attacchi sofisticati noti come compromissione della posta elettronica aziendale (BEC) a volte coinvolgono truffatori che si spacciano per fornitori per indurre un cliente a trasferire loro denaro. L'aggressore di solito prende il controllo di un account di posta elettronica appartenente a una parte o all'altra, monitorando i flussi di posta elettronica fino al momento giusto per intervenire e inviare una fattura falsa con dettagli bancari alterati.
- Furto di credenziali: Gli aggressori rubare gli accessi dei fornitori nel tentativo di violare il fornitore o i suoi clienti (alle cui reti potrebbero avere accesso). Questo è ciò che è accaduto durante la massiccia violazione del Target del 2013, quando gli hacker hanno rubato le credenziali di uno dei fornitori HVAC del rivenditore.
- Furto di dati: Molti fornitori archiviano dati sensibili sui propri clienti, in particolare aziende come studi legali che sono a conoscenza di segreti aziendali intimi. Rappresentano un obiettivo attraente per gli autori delle minacce che cercano informazioni possibili monetizzare tramite estorsione o altri mezzi.
Come valutate e mitigate il rischio dei fornitori?
Qualunque sia il tipo specifico di rischio della catena di fornitura, il risultato finale potrebbe essere lo stesso: danni finanziari e reputazionali e il rischio di azioni legali, interruzioni operative, perdite di vendite e clienti arrabbiati. Tuttavia è possibile gestire questi rischi seguendo alcune best practice del settore. Ecco otto idee:
- Effettuare la due diligence su qualsiasi nuovo fornitore. Ciò significa verificare che il loro programma di sicurezza sia in linea con le tue aspettative e che dispongano di misure di base per la protezione, il rilevamento e la risposta alle minacce. Per i fornitori di software si dovrebbe anche verificare se dispongono di un programma di gestione delle vulnerabilità e qual è la loro reputazione riguardo alla qualità dei loro prodotti.
- Gestire i rischi open source. Ciò potrebbe significare l’utilizzo di strumenti di analisi della composizione software (SCA) per ottenere visibilità sui componenti software, insieme alla scansione continua di vulnerabilità e malware e alla tempestiva correzione di eventuali bug. Assicurati inoltre che i team di sviluppatori comprendano l'importanza della sicurezza fin dalla progettazione durante lo sviluppo dei prodotti.
- Condurre una revisione dei rischi di tutti i fornitori. Ciò inizia con la comprensione di chi sono i tuoi fornitori e quindi con la verifica se dispongono di misure di sicurezza di base. Ciò dovrebbe estendersi alle rispettive catene di approvvigionamento. Effettuare controlli frequenti e verificare l'accreditamento con gli standard e le normative del settore, ove appropriato.
- Tieni un elenco di tutti i tuoi fornitori approvati e aggiornalo regolarmente in base ai risultati del tuo audit. Il controllo e l’aggiornamento regolari dell’elenco dei fornitori consentiranno alle organizzazioni di condurre valutazioni approfondite del rischio, identificando potenziali vulnerabilità e garantendo che i fornitori aderiscano agli standard di sicurezza informatica.
- Stabilire una politica formale per i fornitori. Questo dovrebbe delineare i tuoi requisiti per mitigare il rischio del fornitore, inclusi eventuali SLA che devono essere soddisfatti. In quanto tale, funge da documento fondamentale che delinea aspettative, standard e procedure a cui i fornitori devono attenersi per garantire la sicurezza dell’intera catena di fornitura.
- Gestire i rischi di accesso dei fornitori. Applicare un principio di privilegio minimo tra i fornitori, se richiedono l’accesso alla rete aziendale. Questo potrebbe essere distribuito come parte di a Approccio Zero Trust, dove tutti gli utenti e i dispositivi non sono attendibili finché non vengono verificati, con l'autenticazione continua e il monitoraggio della rete che aggiungono un ulteriore livello di mitigazione del rischio.
- Sviluppare un piano di risposta agli incidenti. Nell'eventualità dello scenario peggiore, assicurati di avere un piano ben collaudato da seguire per contenere la minaccia prima che abbia la possibilità di avere un impatto sull'organizzazione. Ciò includerà come mantenere i contatti con i team che lavorano per i tuoi fornitori.
- Prendere in considerazione l'implementazione degli standard di settore. ISO 27001 ed ISO 28000 disponiamo di molti modi utili per eseguire alcuni dei passaggi sopra elencati al fine di ridurre al minimo il rischio del fornitore.
Secondo i dati, negli Stati Uniti lo scorso anno si sono verificati il 40% in più di attacchi alla catena di fornitura rispetto agli attacchi basati su malware un rapporto. Hanno provocato violazioni che hanno colpito oltre 10 milioni di persone. È giunto il momento di riprendere il controllo attraverso una gestione più efficace del rischio fornitore.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.welivesecurity.com/en/business-security/assessing-mitigating-cybersecurity-risks-supply-chain/
- :ha
- :È
- :non
- :Dove
- $10 milioni
- 10
- 2013
- a
- capace
- WRI
- sopra
- accelerare
- accesso
- Secondo
- Il mio account
- accreditamento
- Raggiungere
- attori
- l'aggiunta di
- aderire
- Dopo shavasana, sedersi in silenzio; saluti;
- Allinea
- Tutti
- a fianco di
- anche
- alterato
- tra
- an
- .
- ed
- Un altro
- in qualsiasi
- opportuno
- approvato
- SONO
- AS
- valutare
- valutare
- valutazioni
- At
- attacco
- attacchi
- tentativo
- attraente
- revisione
- revisione
- Autenticazione
- disponibile
- precedente
- Banca
- Linea di base
- BE
- BEC
- perché
- stato
- prima
- iniziato
- appartenente
- MIGLIORE
- best practice
- ciecamente
- violazione
- violazioni
- Insetto
- bug
- costruito
- affari
- aziende
- ma
- by
- Campagna
- Materiale
- Custodie
- casi
- Categoria
- catena
- Catene
- possibilità
- dai un'occhiata
- verifica
- cliente
- clienti
- Clima
- codice
- Comunicazione
- Aziende
- azienda
- complesso
- componenti
- composizione
- compromesso
- compromettendo
- Segui il codice di Condotta
- contenere
- continuo
- di controllo
- Aziende
- potuto
- critico
- Corrente
- Clienti
- Cyber
- Attacco informatico
- Cybersecurity
- danno
- dati
- Protezione
- consegnato
- Denial of Service
- schierato
- Design
- dettagli
- rivelazione
- Costruttori
- sviluppatori
- in via di sviluppo
- dispositivi
- digitale
- servizi digitali
- diligenza
- Rottura
- do
- documento
- giù
- dovuto
- e
- Efficace
- otto
- o
- enable
- fine
- garantire
- assicurando
- particolarmente
- Evento
- le aspettative
- Sfruttare
- estendere
- extra
- facilita
- falso
- Compila il
- finanziario
- Trovate
- Aziende
- primo in assoluto
- flussi
- seguire
- i seguenti
- Nel
- formale
- forme
- essere trovato
- fondamentale
- frode
- truffatori
- frequentemente
- da
- Guadagno
- ottenere
- ottenere
- globali
- commercio globale
- Go
- accadere
- successo
- Avere
- qui
- dirottare
- storia
- Come
- Tutorial
- HTML
- HTTPS
- centinaia
- idee
- identificazione
- if
- Impact
- impatto
- Implementazione
- importanza
- in
- incidente
- risposta agli incidenti
- includere
- Compreso
- Aumento
- sempre più
- infatti
- individui
- industria
- standard di settore
- informazioni
- interazioni
- intimo
- ai miglioramenti
- fattura
- coinvolgere
- ISO
- IT
- Gen
- jpg
- Sapere
- conosciuto
- grandi
- Cognome
- L'anno scorso
- Legge
- studi legali
- avvocati
- strato
- principale
- meno
- mantenere i contatti
- piace
- Lista
- elencati
- cerca
- perso
- lotti
- Principale
- Fare
- il malware
- gestire
- gestito
- gestione
- gestione
- molti
- Rappresentanza
- massiccio
- max-width
- Maggio..
- significare
- si intende
- Nel frattempo
- analisi
- di cartone
- forza
- milione
- milioni
- verbale
- Ridurre la perdita dienergia con una
- attenuante
- attenuazione
- soldi
- monitoraggio
- mese
- Scopri di più
- maggior parte
- devono obbligatoriamente:
- Rete
- reti
- New
- numero
- of
- on
- ONE
- online
- opaco
- aprire
- open source
- operativa
- or
- minimo
- organizzazione
- organizzazioni
- Altro
- su
- interruzioni
- contorno
- delineando
- ancora
- complessivo
- proprio
- parte
- particolare
- partner
- partito
- passato
- Toppa
- patching
- PHIL
- posto
- piano
- Platone
- Platone Data Intelligence
- PlatoneDati
- politica
- Popolare
- possibile
- potenziale
- potenzialmente
- pratiche
- precedente
- principio
- privilegio
- procedure
- Prodotti
- professionale
- Programma
- progetti
- proprio
- prosperità
- protezione
- fornitori
- pubblicamente
- mette
- qualità
- Presto
- ransomware
- recente
- per quanto riguarda
- Basic
- regolarmente
- normativa
- rapporto
- rappresentare
- reputazione
- richiedere
- Requisiti
- Risorse
- risposta
- colpevole
- Risultati
- Rivelato
- recensioni
- destra
- Rischio
- gestione del rischio
- rischi
- vendite
- stesso
- scansione
- scenario
- segreti
- problemi di
- Misure di sicurezza
- inviare
- delicata
- grave
- serve
- servizio
- fornitori di servizi
- Servizi
- dovrebbero
- singolo
- rallentare
- Software
- componenti software
- Sviluppatori di software
- alcuni
- a volte
- sofisticato
- Fonte
- codice sorgente
- specifico
- standard
- inizio
- step
- Passi
- stola
- rubare
- Tornare al suo account
- Successivamente
- tale
- subito
- fornitore
- fornitori
- fornire
- supply chain
- Catene di fornitura
- sostenibile
- Fai
- Target
- le squadre
- di
- che
- Il
- furto
- loro
- Li
- poi
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- questo
- minaccia
- attori della minaccia
- Attraverso
- tempo
- a
- strumenti
- commercio
- tradizionale
- trasferimento
- Affidati ad
- confidando
- Digitare
- Tipi di
- capire
- e una comprensione reciproca
- fino a quando
- Aggiornanento
- aggiornamento
- us
- uso
- utile
- utenti
- utilizzando
- generalmente
- fornitori
- verificato
- via
- visibilità
- vulnerabilità
- vulnerabilità
- Prima
- Modo..
- modi
- è andato
- sono stati
- Che
- quando
- se
- quale
- OMS
- di chi
- volere
- con
- lavoro
- mondo
- Salsiccia di assorbimento
- anno
- ancora
- Tu
- Trasferimento da aeroporto a Sharm
- zefiro