Forretningssikkerhet
Å stole blindt på dine partnere og leverandører på deres sikkerhetsstilling er ikke bærekraftig – det er på tide å ta kontroll gjennom effektiv leverandørrisikostyring
Januar 25 2024 • , 5 min. lese
Verden er bygget på forsyningskjeder. De er bindevevet som letter global handel og velstand. Men disse nettverkene av overlappende og innbyrdes relaterte selskaper blir stadig mer komplekse og ugjennomsiktige. De fleste involverer levering av programvare og digitale tjenester, eller er i det minste på en eller annen måte avhengig av nettbaserte interaksjoner. Det setter dem i fare for forstyrrelser og kompromisser.
Spesielt SMB-er leter kanskje ikke proaktivt eller har ressursene til å administrere sikkerheten i forsyningskjedene sine. Men blindt stole på dine partnere og leverandører på deres cybersikkerhetsstilling er ikke bærekraftig i dagens klima. Det er faktisk (sist) tid for å gjøre alvor av å håndtere forsyningskjederisiko.
Hva er forsyningskjederisiko?
Cyberrisiko i forsyningskjeden kan ha mange former, fra ransomware og datatyveri til tjenestenekt (DDoS) og svindel. De kan påvirke tradisjonelle leverandører som profesjonelle tjenestefirmaer (f.eks. advokater, regnskapsførere) eller leverandører av forretningsprogramvare. Angripere kan også gå etter administrerte tjenesteleverandører (MSP), fordi ved å kompromittere et enkelt selskap på denne måten, kan de få tilgang til et potensielt stort antall nedstrøms klientbedrifter. Forskning fra i fjor avslørte at 90 % av MSP-er ble utsatt for et nettangrep de siste 18 månedene.
Her er noen av hovedtypene for nettangrep i forsyningskjeden og hvordan de skjer:
- Kompromittert proprietær programvare: Nettkriminelle blir dristigere. I noen tilfeller har de vært i stand til å finne en måte å kompromittere programvareutviklere, og sette inn skadelig programvare i kode som deretter leveres til nedstrømskunder. Dette er hva som skjedde i Kaseya løsepenge-kampanje. I et nyere tilfelle, populær filoverføringsprogramvare MOVEit ble kompromittert av en nulldagers sårbarhet og data stjålet fra hundrevis av bedriftsbrukere, som påvirker millioner av deres kunder. I mellomtiden har kompromittering av 3CX-kommunikasjonsprogramvaren gikk ned i historien som den første offentlig dokumenterte hendelsen av ett forsyningskjedeangrep som førte til et annet.
- Angrep på forsyningskjeder med åpen kildekode: De fleste utviklere bruker åpen kildekode-komponenter for å akselerere tiden til markedet for programvareprosjektene sine. Men trusselaktører vet dette, og har begynt å sette inn skadelig programvare i komponenter og gjøre dem tilgjengelige i populære depoter. En rapport hevder det har vært en økning på 633 % fra år til år i slike angrep. Trusselaktører er også raske til å utnytte sårbarheter i åpen kildekode som enkelte brukere kan være trege med å lappe. Dette er hva som skjedde da en kritisk feil ble funnet i et nesten allestedsnærværende verktøy kjent som Log4j.
- Etterligne leverandører for svindel: Sofistikerte angrep kjent som bedriftens e-postkompromiss (BEC) involverer noen ganger svindlere som utgir seg for å være leverandører for å lure en klient til å overføre penger til dem. Angriperen vil vanligvis kapre en e-postkonto som tilhører den ene eller den andre parten, og overvåker e-poststrømmene til tiden er inne for å gå inn og sende en falsk faktura med endrede bankdetaljer.
- Legitimasjonstyveri: angripere stjele påloggingene av leverandører i et forsøk på å bryte enten leverandøren eller deres kunder (hvis nettverk de kan ha tilgang til). Dette er hva som skjedde i det massive målbruddet i 2013 når hackere stjal legitimasjonen fra en av forhandlerens VVS-leverandører.
- Datatyveri: Mange leverandører lagrer sensitive data om sine klienter, spesielt selskaper som advokatfirmaer som er kjent med intime bedriftshemmeligheter. De representerer et attraktivt mål for trusselaktører som leter etter informasjon de kan tjene penger via utpressing eller andre midler.
Hvordan vurderer og reduserer du leverandørrisiko?
Uansett hvilken spesifikk forsyningskjederisikotype, kan sluttresultatet bli det samme: økonomisk skade og omdømmeskade og risiko for rettssaker, driftsstans, tapt salg og sinte kunder. Likevel er det mulig å håndtere disse risikoene ved å følge noen bransjebestemmelser. Her er åtte ideer:
- Utfør due diligence på enhver ny leverandør. Det betyr å sjekke at sikkerhetsprogrammet deres stemmer overens med dine forventninger, og at de har grunnleggende tiltak på plass for trusselbeskyttelse, deteksjon og respons. For programvareleverandører bør det også strekke seg til om de har et sårbarhetsstyringsprogram på plass og hva deres rykte er når det gjelder kvaliteten på produktene deres.
- Administrer risikoer med åpen kildekode. Dette kan bety bruk av verktøy for analyse av programvaresammensetning (SCA) for å få innsyn i programvarekomponenter, sammen med kontinuerlig skanning etter sårbarheter og skadelig programvare, og umiddelbar oppdatering av eventuelle feil. Sørg også for at utviklerteam forstår viktigheten av designsikkerhet når de utvikler produkter.
- Foreta en risikovurdering av alle leverandører. Dette starter med å forstå hvem leverandørene dine er og deretter sjekke om de har grunnleggende sikkerhetstiltak på plass. Dette bør strekke seg til deres egne forsyningskjeder. Revisjon ofte og se etter akkreditering med bransjestandarder og forskrifter der det er hensiktsmessig.
- Hold en liste over alle dine godkjente leverandører og oppdater dette regelmessig i henhold til resultatene av revisjonen din. Regelmessig revisjon og oppdatering av leverandørlisten vil gjøre organisasjoner i stand til å gjennomføre grundige risikovurderinger, identifisere potensielle sårbarheter og sikre at leverandørene overholder cybersikkerhetsstandarder.
- Etablere en formell policy for leverandører. Dette bør skissere dine krav for å redusere leverandørrisiko, inkludert eventuelle SLAer som må oppfylles. Som sådan fungerer det som et grunnleggende dokument som skisserer forventninger, standarder og prosedyrer som leverandørene må følge for å sikre sikkerheten til den overordnede forsyningskjeden.
- Administrer risikoer for leverandørtilgang. Håndheve et prinsipp om minste privilegium blant leverandører, hvis de trenger tilgang til bedriftsnettverket. Dette kan distribueres som en del av en Zero Trust-tilnærming, der alle brukere og enheter ikke er klarert før de er verifisert, med kontinuerlig autentisering og nettverksovervåking som legger til et ekstra lag med risikoreduksjon.
- Utvikle en handlingsplan for hendelser. I verste fall, sørg for at du har en godt innøvd plan å følge for å begrense trusselen før den har en sjanse til å påvirke organisasjonen. Dette vil inkludere hvordan du kan kommunisere med team som jobber for leverandørene dine.
- Vurder å implementere industristandarder. ISO 27001 og ISO 28000 har mange nyttige måter å oppnå noen av trinnene ovenfor for å minimere leverandørrisiko.
I USA i fjor var det 40 % flere forsyningskjedeangrep enn malware-baserte angrep, ifølge en rapport. De resulterte i brudd som rammet over 10 millioner individer. Det er på tide å ta tilbake kontrollen gjennom mer effektiv leverandørrisikostyring.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.welivesecurity.com/en/business-security/assessing-mitigating-cybersecurity-risks-supply-chain/
- : har
- :er
- :ikke
- :hvor
- $ 10 millioner
- 10
- 2013
- a
- I stand
- Om oss
- ovenfor
- akselerere
- adgang
- Ifølge
- Logg inn
- akkreditering
- Oppnå
- aktører
- legge
- overholde
- Etter
- Justerer
- Alle
- sammen
- også
- endret
- blant
- an
- analyse
- og
- En annen
- noen
- hensiktsmessig
- godkjent
- ER
- AS
- vurdere
- vurdere
- vurderingene
- At
- angripe
- Angrep
- forsøk
- attraktiv
- revisjon
- revisjon
- Autentisering
- tilgjengelig
- tilbake
- Bank
- Baseline
- BE
- BEC
- fordi
- vært
- før du
- begynt
- tilhørighet
- BEST
- beste praksis
- blindt
- brudd
- brudd
- Bug
- bugs
- bygget
- virksomhet
- bedrifter
- men
- by
- Kampanje
- CAN
- saken
- saker
- Kategori
- kjede
- kjeder
- sjanse
- sjekk
- kontroll
- kunde
- klienter
- Klima
- kode
- Kommunikasjon
- Selskaper
- Selskapet
- komplekse
- komponenter
- sammensetning
- kompromiss
- kompromittere
- Gjennomføre
- inneholde
- kontinuerlig
- kontroll
- Bedriftens
- kunne
- kritisk
- Gjeldende
- Kunder
- cyber
- Cyber angrep
- Cybersecurity
- skade
- dato
- DDoS
- levert
- Denial of Service
- utplassert
- utforming
- detaljer
- Gjenkjenning
- Utvikler
- utviklere
- utvikle
- Enheter
- digitalt
- digitale tjenester
- aktsomhet
- Avbrudd
- do
- dokument
- ned
- to
- e
- Effektiv
- åtte
- enten
- emalje
- muliggjøre
- slutt
- sikre
- sikrer
- spesielt
- Event
- forventninger
- Exploit
- utvide
- ekstra
- forenkler
- forfalskning
- filet
- finansiell
- Finn
- bedrifter
- første noensinne
- Flows
- følge
- etter
- Til
- formell
- skjemaer
- funnet
- grunn
- svindel
- svindlere
- ofte
- fra
- Gevinst
- få
- få
- Global
- global handel
- Go
- skje
- skjedde
- Ha
- her.
- kapre
- historie
- Hvordan
- Hvordan
- HTML
- HTTPS
- Hundrevis
- Ideer
- identifisering
- if
- Påvirkning
- slag
- implementere
- betydning
- in
- hendelse
- hendelsesrespons
- inkludere
- Inkludert
- Øke
- stadig
- faktisk
- individer
- industri
- industristandarder
- informasjon
- interaksjoner
- intim
- inn
- faktura
- involvere
- ISO
- IT
- jan
- jpg
- Vet
- kjent
- stor
- Siste
- I fjor
- Law
- advokatfirmaer
- advokater
- lag
- ledende
- minst
- kontakt
- i likhet med
- Liste
- oppført
- ser
- tapte
- masse
- Hoved
- Making
- malware
- administrer
- fikk til
- ledelse
- administrerende
- mange
- marked
- massive
- max bredde
- Kan..
- bety
- midler
- Mellomtiden
- målinger
- møtte
- kunne
- millioner
- millioner
- minutter
- Minske
- formildende
- skadebegrensning
- penger
- overvåking
- måneder
- mer
- mest
- må
- nettverk
- nettverk
- Ny
- Antall
- of
- on
- ONE
- på nett
- ugjennomsiktig
- åpen
- åpen kildekode
- operasjonell
- or
- rekkefølge
- organisasjon
- organisasjoner
- Annen
- ut
- brudd
- omriss
- skisserer
- enn
- samlet
- egen
- del
- Spesielt
- partnere
- parti
- Past
- patch
- patching
- Phil
- Sted
- fly
- plato
- Platon Data Intelligence
- PlatonData
- politikk
- Populær
- mulig
- potensiell
- potensielt
- praksis
- forrige
- prinsipp
- privilegium
- prosedyrer
- Produkter
- profesjonell
- program
- prosjekter
- proprietær
- velstand
- beskyttelse
- tilbydere
- offentlig
- setter
- kvalitet
- Rask
- ransomware
- nylig
- om
- regelmessig
- regelmessig
- forskrifter
- rapporterer
- representere
- omdømme
- krever
- Krav
- Ressurser
- svar
- resultere
- Resultater
- Avslørt
- anmeldelse
- ikke sant
- Risiko
- risikostyring
- risikoer
- salg
- samme
- skanning
- scenario
- hemmeligheter
- sikkerhet
- Sikkerhetstiltak
- send
- sensitive
- alvorlig
- serverer
- tjeneste
- tjenestetilbydere
- Tjenester
- bør
- enkelt
- langsom
- Software
- programvarekomponenter
- Programvareutviklere
- noen
- noen ganger
- sofistikert
- kilde
- kildekoden
- spesifikk
- standarder
- starter
- Trinn
- Steps
- stjal
- stjålet
- oppbevare
- I ettertid
- slik
- LED
- leverandør
- leverandører
- levere
- forsyningskjeden
- Forsyningskjeder
- bærekraftig
- Ta
- Target
- lag
- enn
- Det
- De
- tyveri
- deres
- Dem
- deretter
- Der.
- Disse
- de
- denne
- trussel
- trusselaktører
- Gjennom
- tid
- til
- verktøy
- verktøy
- handel
- tradisjonelle
- overføre
- Stol
- stole på
- typen
- typer
- forstå
- forståelse
- til
- Oppdater
- oppdatering
- us
- bruke
- nyttig
- Brukere
- ved hjelp av
- vanligvis
- leverandører
- verifisert
- av
- synlighet
- Sikkerhetsproblemer
- sårbarhet
- var
- Vei..
- måter
- gikk
- var
- Hva
- når
- om
- hvilken
- HVEM
- hvem sin
- vil
- med
- arbeid
- verden
- verste
- år
- ennå
- Du
- Din
- zephyrnet