אבטחה עסקית
לסמוך באופן עיוור על השותפים והספקים שלך על מצב האבטחה שלהם אינו בר קיימא - הגיע הזמן לקחת שליטה באמצעות ניהול סיכוני ספקים יעיל
ינואר 25 2024 • , 5 דקות לקרוא
העולם בנוי על שרשראות אספקה. הם רקמת החיבור שמאפשרת את הסחר והשגשוג העולמי. אבל הרשתות הללו של חברות חופפות וקשורות ביניהן הופכות מורכבות ואטומות יותר ויותר. רובם כרוכים באספקת תוכנה ושירותים דיגיטליים, או לפחות מסתמכים בצורה כלשהי על אינטראקציות מקוונות. זה מעמיד אותם בסיכון משיבוש ופשרה.
ייתכן שחברות קטנות ובינוניות בפרט אינן מחפשות באופן יזום, או שיש להן את המשאבים, לנהל את האבטחה בשרשרת האספקה שלהן. אבל בצורה עיוורת לסמוך על השותפים והספקים שלך על עמדת אבטחת הסייבר שלהם אינו בר קיימא באקלים הנוכחי. אכן, הגיע הזמן (עבר) להתייחס ברצינות לניהול סיכוני שרשרת האספקה.
מהו סיכון שרשרת האספקה?
סיכוני סייבר בשרשרת האספקה יכולים ללבוש צורות רבות, החל ransomware וגניבת נתונים למניעת שירות (DDoS) והונאה. הם עשויים להשפיע על ספקים מסורתיים כגון חברות שירותים מקצועיות (למשל, עורכי דין, רואי חשבון) או ספקים של תוכנות עסקיות. תוקפים עשויים גם לרדוף אחרי ספקי שירותים מנוהלים (MSP), מכיוון שעל ידי התפשרות על חברה אחת בדרך זו, הם יכולים לקבל גישה למספר פוטנציאלי גדול של עסקים של לקוחות במורד הזרם. מחקר מהשנה שעברה חשף כי 90% מאנשי MSP סבלו ממתקפת סייבר ב-18 החודשים הקודמים.
להלן כמה מהסוגים העיקריים של מתקפות סייבר בשרשרת האספקה וכיצד הן מתרחשות:
- תוכנה קניינית בסיכון: פושעי הסייבר נעשים נועזים יותר. במקרים מסוימים, הם הצליחו למצוא דרך לסכן מפתחי תוכנה, ולהכניס תוכנה זדונית לקוד שמועבר לאחר מכן ללקוחות במורד הזרם. זה מה שקרה ב קמפיין של תוכנת כופר של Kaseya. במקרה עדכני יותר, תוכנה פופולרית להעברת קבצים MOVEit נפגע על ידי פגיעות של יום אפס ונתונים שנגנבו ממאות משתמשים ארגוניים, והשפיעו על מיליוני לקוחותיהם. בינתיים, ה פשרה של תוכנת התקשורת 3CX נכנס להיסטוריה כאירוע המתועד הראשון אי פעם של מתקפת שרשרת אספקה אחת שהובילה לאחרת.
- התקפות על שרשראות אספקה בקוד פתוח: רוב המפתחים משתמשים ברכיבי קוד פתוח כדי להאיץ את זמן היציאה לשוק עבור פרויקטי התוכנה שלהם. אבל שחקני איומים יודעים זאת, והחלו להכניס תוכנות זדוניות לרכיבים ולהפוך אותם לזמינים במאגרים פופולריים. דו"ח אחד טוען חלה עלייה של 633% בהתקפות מסוג זה בהשוואה לשנה. שחקני איומים גם ממהרים לנצל פגיעויות בקוד קוד פתוח שחלק מהמשתמשים עשויים להיות איטיים בתיקון. זה מה שקרה כאשר נמצא באג קריטי בכלי שכמעט נמצא בכל מקום המכונה Log4j.
- התחזות לספקים בגין הונאה: התקפות מתוחכמות המכונה פשרה בדוא"ל עסקי (BEC) לפעמים כרוכים רמאים המתחזות לספקים כדי להערים על לקוח שיעביר להם כסף. התוקף בדרך כלל יחטוף חשבון דוא"ל השייך לצד זה או אחר, תוך מעקב אחר זרימות הדוא"ל עד שיגיע הזמן להיכנס ולשלוח חשבונית מזויפת עם פרטי בנק משתנים.
- גניבת אישורים: תוקפים לגנוב את הכניסות של ספקים בניסיון להפר את הספק או את לקוחותיהם (שלרשתותיהם יש להם גישה). זה מה שקרה בהפרת המטרה האדירה של 2013 כאשר האקרים גנבו את האישורים של אחד מספקי HVAC של הקמעונאי.
- גניבת נתונים: ספקים רבים מאחסנים נתונים רגישים על לקוחותיהם, במיוחד חברות כמו משרדי עורכי דין שבקיאים בסודות תאגידים אינטימיים. הם מייצגים יעד אטרקטיבי עבור שחקני איומים המחפשים מידע שהם יכולים לייצר רווח באמצעות סחיטה או באמצעים אחרים.
כיצד אתה מעריך ומצמצם את סיכון הספקים?
לא משנה מה סוג הסיכון הספציפי של שרשרת האספקה, התוצאה הסופית עשויה להיות זהה: נזק פיננסי ומוניטין וסיכון לתביעות משפטיות, הפסקות תפעול, אובדן מכירות ולקוחות כועסים. עם זאת, ניתן לנהל סיכונים אלה על ידי ביצוע כמה שיטות עבודה מומלצות בתעשייה. הנה שמונה רעיונות:
- בצע בדיקת נאותות בכל ספק חדש. זה אומר שבדיקת תוכנית האבטחה שלהם תואמת את הציפיות שלך, ושיש להם אמצעים בסיסיים להגנה, זיהוי ותגובה של איומים. עבור ספקי תוכנה זה צריך גם להתייחס לשאלה האם יש להם תוכנית לניהול נקודות תורפה ומה המוניטין שלהם לגבי איכות המוצרים שלהם.
- נהל סיכוני קוד פתוח. המשמעות עשויה להיות שימוש בכלים לניתוח קומפוזיציה של תוכנה (SCA) כדי לקבל נראות לתוך רכיבי תוכנה, לצד סריקה רציפה לאיתור פגיעויות ותוכנות זדוניות, ותיקון מהיר של כל באג. כמו כן ודא שצוותי מפתחים מבינים את החשיבות של אבטחה לפי עיצוב בעת פיתוח מוצרים.
- ערכו סקירת סיכונים של כל הספקים. זה מתחיל בהבנה מי הם הספקים שלך ולאחר מכן בדיקה אם יש להם אמצעי אבטחה בסיסיים. זה צריך להתרחב לשרשרת האספקה שלהם. בדוק לעתים קרובות ובדוק אם יש הסמכה עם תקנים ותקנות בתעשייה, במידת הצורך.
- שמור רשימה של כל הספקים המאושרים שלך ועדכן זאת באופן קבוע בהתאם לתוצאות הביקורת שלך. ביקורת ועדכון שוטפים של רשימת הספקים יאפשרו לארגונים לבצע הערכות סיכונים יסודיות, לזהות נקודות תורפה אפשריות ולהבטיח שהספקים עומדים בתקני אבטחת סייבר.
- קביעת מדיניות רשמית לספקים. זה אמור לתאר את הדרישות שלך להפחתת סיכון הספקים, כולל כל הסכם SLA שיש לעמוד בהם. ככזה, הוא משמש כמסמך יסוד המתאר ציפיות, תקנים ונהלים שעל הספקים לעמוד בהם על מנת להבטיח את אבטחת שרשרת האספקה הכוללת.
- ניהול סיכוני גישה לספקים. לאכוף עיקרון של הזכות לפחות בקרב ספקים, אם הם דורשים גישה לרשת הארגונית. זה יכול להיפרס כחלק מ- גישת אפס אמון, שבו כל המשתמשים והמכשירים אינם מהימנים עד לאימות, עם אימות רציף וניטור רשת שמוסיפים שכבה נוספת של הפחתת סיכונים.
- בניית תוכנית תגובה לאירועים. במקרה של תרחיש גרוע ביותר, ודא שיש לך תוכנית מתוכננת היטב כדי לעקוב אחר האיום לפני שתהיה לו סיכוי להשפיע על הארגון. זה יכלול כיצד ליצור קשר עם צוותים העובדים עבור הספקים שלך.
- שקול ליישם תקנים בתעשייה. ISO 27001 ו ISO 28000 יש הרבה דרכים שימושיות להשיג חלק מהצעדים המפורטים לעיל כדי למזער את הסיכון של הספקים.
בארה"ב בשנה שעברה, היו 40% יותר התקפות שרשרת האספקה מאשר התקפות מבוססות תוכנות זדוניות, לפי דו"ח אחד. הם הביאו להפרות שהשפיעו על למעלה מ-10 מיליון אנשים. הגיע הזמן לקחת בחזרה את השליטה באמצעות ניהול סיכוני ספקים יעיל יותר.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.welivesecurity.com/en/business-security/assessing-mitigating-cybersecurity-risks-supply-chain/
- :יש ל
- :הוא
- :לֹא
- :איפה
- $ 10 מיליון
- 10
- 2013
- a
- יכול
- אודות
- מֵעַל
- להאיץ
- גישה
- פי
- חֶשְׁבּוֹן
- הסמכה
- להשיג
- שחקנים
- מוסיף
- לדבוק
- לאחר
- מיישר
- תעשיות
- בַּצַד
- גם
- שיניתי
- בין
- an
- אנליזה
- ו
- אחר
- כל
- מתאים
- מאושר
- ARE
- AS
- לְהַעֲרִיך
- הערכה
- הערכות
- At
- לתקוף
- המתקפות
- ניסיון
- מושך
- בדיקה
- ביקורת
- אימות
- זמין
- בחזרה
- בנק
- Baseline
- BE
- BEC
- כי
- היה
- לפני
- התחיל
- שייכות
- הטוב ביותר
- שיטות עבודה מומלצות
- בעיוורון
- הפרה
- פרות
- חרק
- באגים
- נבנה
- עסקים
- עסקים
- אבל
- by
- מבצע
- CAN
- מקרה
- מקרים
- קטגוריה
- שרשרת
- שרשראות
- סיכוי
- לבדוק
- בדיקה
- לקוחות
- לקוחות
- אַקלִים
- קוד
- תקשורת
- חברות
- חברה
- מורכב
- רכיבים
- הרכב
- פשרה
- מתפשר
- לנהל
- להכיל
- רציף
- לִשְׁלוֹט
- משותף
- יכול
- קריטי
- נוֹכְחִי
- לקוחות
- סייבר
- התקפת סייבר
- אבטחת סייבר
- נזק
- נתונים
- DDoS
- נתן
- מניעת שירות
- פרס
- עיצוב
- פרטים
- איתור
- מפתח
- מפתחים
- מתפתח
- התקנים
- דיגיטלי
- שירותים דיגיטליים
- חָרִיצוּת
- התפוררות
- do
- מסמך
- מטה
- ראוי
- e
- אפקטיבי
- שמונה
- או
- אמייל
- לאפשר
- סוף
- לְהַבטִיחַ
- הבטחתי
- במיוחד
- אירוע
- הציפיות
- לנצל
- להאריך
- נוסף
- מקל
- מְזוּיָף
- שלח
- כספי
- חברות
- לראשונה
- זורם
- לעקוב
- הבא
- בעד
- רִשְׁמִי
- צורות
- מצא
- היסוד
- הונאה
- רמאים
- בתדירות גבוהה
- החל מ-
- לְהַשִׂיג
- לקבל
- מקבל
- גלוֹבָּלִי
- מסחר עולמי
- Go
- לקרות
- קרה
- יש
- כאן
- חֲטִיפָה
- היסטוריה
- איך
- איך
- HTML
- HTTPS
- מאות
- רעיונות
- זיהוי
- if
- פְּגִיעָה
- השפעה
- יישום
- חשיבות
- in
- תקרית
- תגובה לאירוע
- לכלול
- כולל
- להגדיל
- יותר ויותר
- אכן
- אנשים
- תעשייה
- תקני התעשייה
- מידע
- יחסי גומלין
- אינטימי
- אל תוך
- חשבונית
- לערב
- ISO
- IT
- יאן
- jpg
- לדעת
- ידוע
- גָדוֹל
- אחרון
- שנה שעברה
- חוק
- - עורכי דין
- עורכי דין
- שכבה
- מוביל
- הכי פחות
- לִשְׁמוֹר עַל קֶשֶׁר
- כמו
- רשימה
- ברשימה
- הסתכלות
- אבוד
- הרבה
- ראשי
- עשייה
- תוכנות זדוניות
- לנהל
- הצליח
- ניהול
- ניהול
- רב
- שוק
- מסיבי
- max-width
- מאי..
- אומר
- אומר
- בינתיים
- אמצעים
- נפגש
- יכול
- מִילִיוֹן
- מיליונים
- דקות
- להקל
- מקלה
- הֲקָלָה
- כסף
- ניטור
- חודשים
- יותר
- רוב
- צריך
- רשת
- רשתות
- חדש
- מספר
- of
- on
- ONE
- באינטרנט
- אטום
- לפתוח
- קוד פתוח
- מבצעי
- or
- להזמין
- ארגון
- ארגונים
- אחר
- הַחוּצָה
- הפסקות
- מתווה
- outlining
- יותר
- מקיף
- שֶׁלוֹ
- חלק
- מסוים
- שותפים
- צד
- עבר
- תיקון
- תיקון
- פיל
- מקום
- תכנית
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- מדיניות
- פופולרי
- אפשרי
- פוטנציאל
- פוטנציאל
- פרקטיקות
- קודם
- עקרון
- זְכוּת
- נהלים
- מוצרים
- מקצועי
- תָכְנִית
- פרויקטים
- קניינית
- שגשוג
- .
- ספקים
- בפומבי
- מכניס
- איכות
- מָהִיר
- ransomware
- לאחרונה
- בדבר
- רגיל
- באופן קבוע
- תקנון
- לדווח
- לייצג
- מוניטין
- לדרוש
- דרישות
- משאבים
- תגובה
- תוצאה
- תוצאות
- גילה
- סקירה
- תקין
- הסיכון
- ניהול סיכונים
- סיכונים
- מכירות
- אותו
- סריקה
- תרחיש
- סודות
- אבטחה
- אמצעי אבטחה
- לשלוח
- רגיש
- רציני
- משמש
- שרות
- ספקי שירות
- שירותים
- צריך
- יחיד
- להאט
- תוכנה
- רכיבי תוכנה
- מפתחי תוכנה
- כמה
- לפעמים
- מתוחכם
- מָקוֹר
- קוד מקור
- ספציפי
- תקנים
- התחלות
- שלב
- צעדים
- צָעִיף
- גָנוּב
- חנות
- כתוצאה מכך
- כזה
- סבל
- להתחנן
- ספקים
- לספק
- שרשרת אספקה
- שרשראות אספקה
- בר קיימא
- לקחת
- יעד
- צוותי
- מֵאֲשֶׁר
- זֶה
- השמיים
- גְנֵבָה
- שֶׁלָהֶם
- אותם
- אז
- שם.
- אלה
- הֵם
- זֶה
- איום
- איום שחקנים
- דרך
- זמן
- ל
- כלי
- כלים
- סחר
- מסורתי
- להעביר
- סומך
- בוטח
- סוג
- סוגים
- להבין
- הבנה
- עד
- עדכון
- עדכון
- us
- להשתמש
- מועיל
- משתמשים
- באמצעות
- בְּדֶרֶך כְּלַל
- ספקים
- מְאוּמָת
- באמצעות
- ראות
- פגיעויות
- פגיעות
- היה
- דֶרֶך..
- דרכים
- הלכתי
- היו
- מה
- מתי
- אם
- אשר
- מי
- של מי
- יצטרך
- עם
- עובד
- עוֹלָם
- גרוע
- שנה
- עוד
- אתה
- זפירנט