Securitatea afacerilor
Să ai încredere orboasă în partenerii și furnizorii tăi în ceea ce privește postura lor de securitate nu este sustenabil – este timpul să preiei controlul printr-un management eficient al riscului furnizorului
Ianuarie 25 2024 • , 5 min. citit
Lumea este construită pe lanțuri de aprovizionare. Ele sunt țesutul conjunctiv care facilitează comerțul global și prosperitatea. Dar aceste rețele de companii care se suprapun și interconectate sunt din ce în ce mai complexe și mai opace. Majoritatea implică furnizarea de software și servicii digitale, sau cel puțin se bazează într-un fel pe interacțiunile online. Acest lucru îi expune riscului de perturbare și compromis.
Este posibil ca IMM-urile în special să nu caute în mod proactiv sau să nu aibă resursele necesare pentru a gestiona securitatea în lanțurile lor de aprovizionare. Dar orbește ai încredere în partenerii și furnizorii tăi în ceea ce privește postura lor de securitate cibernetică nu este durabilă în climatul actual. Într-adevăr, este timpul (trecut) să fim serioși cu privire la gestionarea riscului lanțului de aprovizionare.
Ce este riscul lanțului de aprovizionare?
Riscurile cibernetice ale lanțului de aprovizionare ar putea lua mai multe forme, de la Ransomware și furtul de date până la refuzul serviciului (DDoS) și fraudă. Acestea pot afecta furnizorii tradiționali, cum ar fi firmele de servicii profesionale (de exemplu, avocați, contabili) sau furnizorii de software de afaceri. Atacatorii pot urmări și furnizorii de servicii gestionate (MSP), deoarece, compromițând astfel o singură companie, ar putea obține acces la un număr potențial mare de afaceri clienți din aval. Cercetare de anul trecut a dezvăluit că 90% dintre MSP-uri au suferit un atac cibernetic în ultimele 18 luni.
Iată câteva dintre principalele tipuri de atacuri cibernetice ale lanțului de aprovizionare și cum se întâmplă acestea:
- Software proprietar compromis: Infractorii cibernetici devin din ce în ce mai îndrăzneți. În unele cazuri, au reușit să găsească o modalitate de a compromite dezvoltatorii de software și de a introduce malware în codul care este ulterior livrat clienților din aval. Asta s-a întâmplat în Campanie de ransomware Kaseya. Într-un caz mai recent, software-ul popular de transfer de fișiere MOVEit a fost compromis de o vulnerabilitate zero-day și de date furate de la sute de utilizatori corporativi, impactând milioane de clienți ai acestora. Între timp, cel compromiterea software-ului de comunicare 3CX a intrat în istorie ca primul incident documentat public al unui atac al lanțului de aprovizionare care a condus la altul.
- Atacurile asupra lanțurilor de aprovizionare open-source: Majoritatea dezvoltatorilor folosesc componente open source pentru a accelera timpul de lansare pe piață pentru proiectele lor software. Dar actorii amenințărilor știu acest lucru și au început să introducă malware în componente și să le facă disponibile în depozitele populare. Un raport susține a existat o creștere de 633% de la an la an a acestor atacuri. Actorii amenințărilor sunt, de asemenea, rapid să exploateze vulnerabilitățile din codul open source pe care unii utilizatori pot întârzia să le corecteze. Acesta este ceea ce s-a întâmplat când a fost găsit un bug critic într-un instrument aproape omniprezent cunoscut sub numele de Log4j.
- Uzurparea identității furnizorilor pentru fraudă: Atacurile sofisticate cunoscute ca compromis de e-mail de afaceri (BEC) implică uneori fraudatori care se uită la furnizori pentru a păcăli un client să le transfere bani. Atacatorul va deturna de obicei un cont de e-mail aparținând uneia sau alteia, monitorizând fluxurile de e-mail până când este momentul potrivit pentru a interveni și a trimite o factură falsă cu detalii bancare modificate.
- Furtul de acreditări: atacatorii fura datele de conectare a furnizorilor în încercarea de a încălca fie furnizorul, fie clienții acestora (ale căror rețele pot avea acces). Acesta este ceea ce s-a întâmplat în încălcarea masivă a Țintei din 2013, când hackerii au furat acreditările a unuia dintre furnizorii HVAC ai retailerului.
- Furtul de date: Mulți furnizori stochează date sensibile despre clienții lor, în special companii precum firmele de avocatură care sunt la curent cu secretele corporative intime. Ele reprezintă o țintă atractivă pentru actorii amenințărilor care caută informații pe care le pot monetizează prin extorcare sau alte mijloace.
Cum evaluați și reduceți riscul furnizorului?
Indiferent de tipul specific de risc al lanțului de aprovizionare, rezultatul final ar putea fi același: daune financiare și reputaționale și riscul proceselor în justiție, întreruperi operaționale, pierderi de vânzări și clienți furiosi. Cu toate acestea, este posibil să gestionați aceste riscuri urmând unele bune practici din industrie. Iată opt idei:
- Efectuați verificarea cu privire la orice furnizor nou. Aceasta înseamnă că verificarea programului lor de securitate se aliniază cu așteptările dumneavoastră și că au măsuri de bază pentru protecția, detectarea și răspunsul amenințărilor. Pentru furnizorii de software, ar trebui să se întindă, de asemenea, dacă au un program de gestionare a vulnerabilităților și care este reputația lor în ceea ce privește calitatea produselor lor.
- Gestionați riscurile open source. Acest lucru ar putea însemna utilizarea instrumentelor de analiză a compoziției software (SCA) pentru a obține vizibilitate asupra componentelor software, alături de scanarea continuă pentru vulnerabilități și programe malware și corectarea promptă a oricăror erori. De asemenea, asigurați-vă că echipele de dezvoltatori înțeleg importanța securității prin proiectare atunci când dezvoltă produse.
- Efectuați o evaluare a riscurilor pentru toți furnizorii. Acest lucru începe cu înțelegerea cine sunt furnizorii dvs. și apoi verificarea dacă au măsuri de securitate de bază în vigoare. Acest lucru ar trebui să se extindă la propriile lor lanțuri de aprovizionare. Auditează frecvent și verifică dacă este cazul acreditarea cu standardele și reglementările din industrie.
- Păstrați o listă cu toți furnizorii dvs. aprobați și actualizați-l în mod regulat în funcție de rezultatele auditului dvs. Auditul și actualizarea regulată a listei de furnizori va permite organizațiilor să efectueze evaluări amănunțite ale riscurilor, identificând potențialele vulnerabilități și asigurându-se că furnizorii respectă standardele de securitate cibernetică.
- Stabiliți o politică oficială pentru furnizori. Aceasta ar trebui să sublinieze cerințele dumneavoastră pentru atenuarea riscului furnizorilor, inclusiv orice SLA care trebuie îndeplinit. Ca atare, servește ca un document de bază care subliniază așteptările, standardele și procedurile la care furnizorii trebuie să le respecte pentru a asigura securitatea întregului lanț de aprovizionare.
- Gestionați riscurile de acces la furnizori. Aplicați un principiu al celui mai mic privilegiu în rândul furnizorilor, dacă aceștia necesită acces la rețeaua corporativă. Acest lucru ar putea fi implementat ca parte a unui Abordarea Zero Trust, unde toți utilizatorii și dispozitivele nu sunt de încredere până la verificare, cu autentificare continuă și monitorizare a rețelei adăugând un nivel suplimentar de diminuare a riscurilor.
- Elaborați un plan de răspuns la incident. În cazul unui scenariu cel mai rău, asigurați-vă că aveți un plan bine pregătit de urmat pentru a limita amenințarea înainte ca aceasta să aibă șansa de a afecta organizația. Aceasta va include modul în care să stabiliți legătura cu echipele care lucrează pentru furnizorii dvs.
- Luați în considerare implementarea standardelor din industrie. ISO 27001 și ISO 28000 au o mulțime de modalități utile de a realiza unii dintre pașii enumerați mai sus pentru a minimiza riscul furnizorului.
În SUA, anul trecut, au existat cu 40% mai multe atacuri pe lanțul de aprovizionare decât atacuri bazate pe malware, potrivit datelor un raport. Acestea au dus la încălcări care au afectat peste 10 milioane de persoane. Este timpul să reluăm controlul printr-un management mai eficient al riscului furnizorilor.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.welivesecurity.com/en/business-security/assessing-mitigating-cybersecurity-risks-supply-chain/
- :are
- :este
- :nu
- :Unde
- $ 10 de milioane de
- 10
- 2013
- a
- Capabil
- Despre Noi
- mai sus
- accelera
- acces
- Conform
- Cont
- acreditare
- Obține
- actori
- adăugare
- adera
- După
- Se aliniază
- TOATE
- pe langa
- de asemenea
- modificate
- printre
- an
- analiză
- și
- O alta
- Orice
- adecvat
- aprobat
- SUNT
- AS
- evalua
- evaluarea
- evaluări
- At
- ataca
- Atacuri
- încercare
- atractiv
- de audit
- audit
- Autentificare
- disponibil
- înapoi
- Bancă
- De bază
- BE
- BEC
- deoarece
- fost
- înainte
- început
- apartenenta
- CEL MAI BUN
- Cele mai bune practici
- orbeşte
- încălcarea
- încălcări
- Bug
- gandaci
- construit
- afaceri
- întreprinderi
- dar
- by
- Campanie
- CAN
- caz
- cazuri
- Categorii
- lanţ
- lanţuri
- șansă
- verifica
- control
- client
- clientii
- Climat
- cod
- Comunicare
- Companii
- companie
- complex
- componente
- compoziție
- compromis
- compromisor
- Conduce
- conţine
- continuu
- Control
- Istoria
- ar putea
- critic
- Curent
- clienţii care
- Cyber
- Atac cibernetic
- Securitate cibernetică
- prejudiciu
- de date
- DDoS
- livrate
- Denial of Service
- dislocate
- Amenajări
- detalii
- Detectare
- Dezvoltator
- Dezvoltatorii
- în curs de dezvoltare
- Dispozitive
- digital
- servicii digitale
- diligență
- Ruptură
- do
- document
- jos
- două
- e
- Eficace
- opt
- oricare
- permite
- capăt
- asigura
- asigurare
- mai ales
- eveniment
- aşteptări
- Exploata
- extinde
- suplimentar
- facilitează
- fals
- Fișier
- financiar
- Găsi
- firme
- primul
- fluxurilor
- urma
- următor
- Pentru
- formal
- formulare
- găsit
- fundamentale
- fraudă
- evazioniștilor
- frecvent
- din
- Câştig
- obține
- obtinerea
- Caritate
- Comert global
- Go
- întâmpla
- sa întâmplat
- Avea
- aici
- hijack
- istorie
- Cum
- Cum Pentru a
- HTML
- HTTPS
- sute
- idei
- identificarea
- if
- Impactul
- impact
- Punere în aplicare a
- importanță
- in
- incident
- răspuns la incident
- include
- Inclusiv
- Crește
- tot mai mult
- într-adevăr
- persoane fizice
- industrie
- standardele industriei
- informații
- interacţiuni
- intim
- în
- factură
- implica
- ISO
- IT
- Jan
- jpg
- Cunoaște
- cunoscut
- mare
- Nume
- Anul trecut
- Drept
- firme de avocatura
- avocaţi
- strat
- conducere
- cel mai puțin
- legătură
- ca
- Listă
- listat
- cautati
- pierdut
- loturi
- Principal
- Efectuarea
- malware
- administra
- gestionate
- administrare
- de conducere
- multe
- Piață
- masiv
- max-width
- Mai..
- însemna
- mijloace
- Între timp
- măsuri
- cu
- ar putea
- milion
- milioane
- minute
- diminua
- atenuant
- atenuare
- bani
- Monitorizarea
- luni
- mai mult
- cele mai multe
- trebuie sa
- reţea
- rețele
- Nou
- număr
- of
- on
- ONE
- on-line
- opac
- deschide
- open-source
- operațional
- or
- comandă
- organizație
- organizații
- Altele
- afară
- Întreruperile
- schiță
- conturând
- peste
- global
- propriu
- parte
- special
- parteneri
- parte
- trecut
- Plasture
- patching
- FIL
- Loc
- plan
- Plato
- Informații despre date Platon
- PlatoData
- Politica
- Popular
- posibil
- potenţial
- potenţial
- practicile
- precedent
- principiu
- privilegiu
- Proceduri
- Produse
- profesional
- Program
- Proiecte
- proprietate
- prosperitate
- protecţie
- furnizori
- public
- puts
- calitate
- Rapid
- Ransomware
- recent
- cu privire la
- regulat
- regulat
- regulament
- raportează
- reprezenta
- reputație
- necesita
- Cerinţe
- Resurse
- răspuns
- rezultat
- REZULTATE
- Dezvăluit
- revizuiască
- dreapta
- Risc
- de gestionare a riscurilor
- Riscurile
- de vânzări
- acelaşi
- scanare
- scenariu
- secrete
- securitate
- Măsuri de securitate
- trimite
- sensibil
- serios
- servește
- serviciu
- prestatori de servicii
- Servicii
- să
- singur
- încetini
- Software
- componente software
- Dezvoltatori de software
- unele
- uneori
- sofisticat
- Sursă
- cod sursă
- specific
- standarde
- începe
- Pas
- paşi
- furat
- furate
- stoca
- Ulterior
- astfel de
- a suferit
- furnizorul
- furnizori
- livra
- lanțului de aprovizionare
- Lanțurile de aprovizionare
- durabilă
- Lua
- Ţintă
- echipe
- decât
- acea
- furt
- lor
- Lor
- apoi
- Acolo.
- Acestea
- ei
- acest
- amenințare
- actori amenințători
- Prin
- timp
- la
- instrument
- Unelte
- comerţului
- tradiţional
- transfer
- Încredere
- încredere
- tip
- Tipuri
- înţelege
- înţelegere
- până la
- Actualizează
- actualizarea
- us
- utilizare
- util
- utilizatorii
- folosind
- obișnuit
- furnizori
- verificat
- de
- vizibilitate
- Vulnerabilitățile
- vulnerabilitate
- a fost
- Cale..
- modalități de
- a mers
- au fost
- Ce
- cand
- dacă
- care
- OMS
- a caror
- voi
- cu
- de lucru
- lume
- Mini rulouri de absorbție
- an
- încă
- Tu
- Ta
- zephyrnet