Безопасность бизнеса
Слепо доверять своим партнерам и поставщикам в отношении их безопасности нерационально – пришло время взять под контроль посредством эффективного управления рисками поставщиков.
Январь 25 2024 • , 5 минута. читать
Мир построен на цепочках поставок. Они представляют собой соединительную ткань, которая способствует глобальной торговле и процветанию. Но эти сети пересекающихся и взаимосвязанных компаний становятся все более сложными и непрозрачными. Большинство из них связаны с поставкой программного обеспечения и цифровых услуг или, по крайней мере, каким-то образом зависят от онлайн-взаимодействия. Это подвергает их риску разрушения и компромисса.
В частности, предприятия малого и среднего бизнеса могут не стремиться активно или не иметь ресурсов для управления безопасностью в своих цепочках поставок. Но слепо доверять своим партнерам и поставщикам в отношении их кибербезопасности не является устойчивым в нынешних условиях. Действительно, (прошло) время серьезно заняться управлением рисками в цепочке поставок.
Что такое риск цепочки поставок?
Киберриски в цепочке поставок могут принимать различные формы, от вымогателей от кражи данных до отказа в обслуживании (DDoS) и мошенничества. Они могут повлиять на традиционных поставщиков, таких как фирмы, оказывающие профессиональные услуги (например, юристы, бухгалтеры) или поставщики программного обеспечения для бизнеса. Злоумышленники также могут атаковать поставщиков управляемых услуг (MSP), поскольку, скомпрометировав таким образом одну компанию, они могут получить доступ к потенциально большому количеству нижестоящих клиентских предприятий. Исследования прошлого года выявило, что 90% MSP подверглись кибератакам за предыдущие 18 месяцев.
Вот некоторые из основных типов кибератак в цепочке поставок и то, как они происходят:
- Скомпрометированное фирменное программное обеспечение: Киберпреступники становятся смелее. В некоторых случаях им удавалось найти способ скомпрометировать разработчиков программного обеспечения и внедрить вредоносное ПО в код, который впоследствии доставлялся последующим клиентам. Вот что произошло в Кампания по вымогательству Kaseya. В более недавнем случае популярное программное обеспечение для передачи файлов MOVEit был скомпрометирован из-за уязвимости нулевого дня и кражи данных у сотен корпоративных пользователей, что затронуло миллионы их клиентов. Между тем, компрометация коммуникационного программного обеспечения 3CX вошёл в историю как первый публично задокументированный инцидент, когда одна атака на цепочку поставок привела к другой.
- Атаки на цепочки поставок с открытым исходным кодом: Большинство разработчиков используют компоненты с открытым исходным кодом, чтобы ускорить вывод своих программных проектов на рынок. Но злоумышленники знают об этом и начали вставлять вредоносное ПО в компоненты и размещать их в популярных репозиториях. В одном отчете утверждается количество таких атак увеличилось на 633% в годовом исчислении. Злоумышленники также быстро используют уязвимости в открытом исходном коде, которые некоторые пользователи могут не сразу исправлять. Вот что произошло, когда в почти повсеместном инструменте была обнаружена критическая ошибка известный как Log4j.
- Выдача себя за поставщиков в целях мошенничества: Сложные атаки, известные как компромисс деловой почты (BEC) иногда привлекают мошенников, выдающих себя за поставщиков, чтобы обманом заставить клиента перевести им деньги. Злоумышленник обычно захватывает учетную запись электронной почты, принадлежащую той или иной стороне, отслеживая потоки электронной почты до тех пор, пока не придет время вмешаться и отправить поддельный счет с измененными банковскими реквизитами.
- Кража учетных данных: Взломщики украсть логины поставщиков в попытке взломать либо поставщика, либо его клиентов (к сетям которых они могут иметь доступ). Именно это произошло во время массового взлома Target в 2013 году, когда хакеры украли учетные данные одного из поставщиков систем отопления, вентиляции и кондиционирования розничной торговли.
- Кража данных: Многие поставщики хранят конфиденциальные данные о своих клиентах, особенно такие компании, как юридические фирмы, которые посвящены в интимные корпоративные тайны. Они представляют собой привлекательную цель для злоумышленников, ищущих информацию, которую они могут монетизировать через вымогательство или другие средства.
Как вы оцениваете и снижаете риски поставщиков?
Каким бы ни был конкретный тип риска в цепочке поставок, конечный результат может быть одним и тем же: финансовый и репутационный ущерб, а также риск судебных исков, сбоев в работе, упущенных продаж и недовольства клиентов. Тем не менее, этими рисками можно управлять, следуя некоторым лучшим отраслевым практикам. Вот восемь идей:
- Проведите комплексную проверку любого нового поставщика. Это означает, что их программа безопасности соответствует вашим ожиданиям, а также наличие базовых мер для защиты, обнаружения и реагирования на угрозы. Для поставщиков программного обеспечения это также должно касаться того, есть ли у них программа управления уязвимостями и какова их репутация в отношении качества их продуктов.
- Управляйте рисками открытого исходного кода. Это может означать использование инструментов анализа состава программного обеспечения (SCA) для получения информации о компонентах программного обеспечения, а также непрерывное сканирование на наличие уязвимостей и вредоносного ПО, а также оперативное исправление любых ошибок. Также убедитесь, что команды разработчиков понимают важность обеспечения безопасности при разработке продуктов.
- Проведите анализ рисков всех поставщиков. Это начинается с понимания того, кто ваши поставщики, а затем проверки наличия у них базовых мер безопасности. Это должно распространяться на их собственные цепочки поставок. Регулярно проводите аудит и проверяйте соответствие отраслевым стандартам и правилам, где это необходимо.
- Ведите список всех одобренных вами поставщиков. и регулярно обновляйте его в соответствии с результатами вашего одитинга. Регулярный аудит и обновление списка поставщиков позволит организациям проводить тщательную оценку рисков, выявлять потенциальные уязвимости и обеспечивать соблюдение поставщиками стандартов кибербезопасности.
- Установите официальную политику для поставщиков. В нем должны быть изложены ваши требования по снижению рисков поставщиков, включая любые соглашения об уровне обслуживания, которые должны соблюдаться. По сути, он служит основополагающим документом, в котором излагаются ожидания, стандарты и процедуры, которых поставщики должны придерживаться, чтобы обеспечить безопасность всей цепочки поставок.
- Управляйте рисками доступа поставщиков. Обеспечьте соблюдение принципа наименьших привилегий среди поставщиков, если им требуется доступ к корпоративной сети. Это может быть развернуто как часть Подход нулевого доверия, где всем пользователям и устройствам не доверяют до тех пор, пока они не будут проверены, а непрерывная аутентификация и мониторинг сети добавляют дополнительный уровень снижения рисков.
- Разработайте план реагирования на инцидент. В случае наихудшего сценария убедитесь, что у вас есть хорошо отработанный план, которому нужно следовать, чтобы сдержать угрозу, прежде чем она сможет повлиять на организацию. Это будет включать в себя способы взаимодействия с командами, работающими на ваших поставщиков.
- Рассмотрите возможность внедрения отраслевых стандартов. ISO 27001 и ISO 28000 у вас есть множество полезных способов выполнить некоторые из перечисленных выше шагов, чтобы минимизировать риск поставщика.
По данным, в прошлом году в США было на 40% больше атак на цепочки поставок, чем атак с использованием вредоносного ПО. один отчет. В результате нарушений пострадали более 10 миллионов человек. Пришло время вернуть контроль посредством более эффективного управления рисками поставщиков.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.welivesecurity.com/en/business-security/assessing-mitigating-cybersecurity-risks-supply-chain/
- :имеет
- :является
- :нет
- :куда
- $ 10 миллионов
- 10
- 2013
- a
- в состоянии
- О нас
- выше
- ускорять
- доступ
- По
- Учетная запись
- аккредитация
- Достигать
- актеры
- добавить
- придерживаться
- После
- Выравнивает
- Все
- рядом
- причислены
- изменен
- среди
- an
- анализ
- и
- Другой
- любой
- соответствующий
- утвержденный
- МЫ
- AS
- оценить
- Оценка
- оценки
- At
- атаковать
- нападки
- попытка
- привлекательный
- аудит
- аудит
- Аутентификация
- доступен
- назад
- Банка
- Базовая линия
- BE
- БЭК
- , так как:
- было
- до
- начал
- принадлежащий
- ЛУЧШЕЕ
- лучшие практики
- слепо
- нарушение
- нарушения
- Ошибка
- ошибки
- построенный
- бизнес
- бизнес
- но
- by
- Кампания
- CAN
- случаев
- случаев
- Категории
- цепь
- цепи
- шанс
- проверка
- контроль
- клиент
- клиентов
- климат
- код
- Связь
- Компании
- Компания
- комплекс
- компоненты
- композиция
- скомпрометированы
- компромат
- Проводить
- содержать
- (CIJ)
- контроль
- Корпоративное
- может
- критической
- Текущий
- Клиенты
- кибер-
- Кибератака
- Информационная безопасность
- повреждение
- данным
- DDoS
- поставляется
- Отказ в обслуживании
- развернуть
- Проект
- подробнее
- обнаружение
- Застройщик
- застройщиков
- развивающийся
- Устройства
- Интернет
- цифровые услуги
- усердие
- Нарушение
- do
- документ
- вниз
- два
- e
- Эффективный
- 8
- или
- включить
- конец
- обеспечивать
- обеспечение
- особенно
- События
- ожидания
- Эксплуатировать
- продлить
- дополнительно
- облегчает
- не настоящие
- Файл
- финансовый
- Найдите
- Компаний
- Первый когда-либо
- Потоки
- следовать
- после
- Что касается
- формальный
- формы
- найденный
- основополагающий
- мошенничество
- мошенники
- часто
- от
- Gain
- получить
- получающий
- Глобальный
- мировая торговля
- Go
- происходить
- произошло
- Есть
- здесь
- похищать
- история
- Как
- How To
- HTML
- HTTPS
- Сотни
- идеи
- идентифицирующий
- if
- Влияние
- воздействуя
- Осуществляющий
- значение
- in
- инцидент
- реакция на инцидент
- включают
- В том числе
- Увеличение
- все больше и больше
- действительно
- лиц
- промышленность
- отраслевые стандарты
- информация
- взаимодействие
- интимный
- в
- счет-фактура
- включать в себя
- ISO
- IT
- Января
- JPG
- Знать
- известный
- большой
- Фамилия
- В прошлом году
- закон
- юридические фирмы
- Адвокаты
- слой
- ведущий
- наименее
- поддерживать связь
- такое как
- Список
- Включенный в список
- искать
- потерянный
- много
- Главная
- Создание
- вредоносных программ
- управлять
- управляемого
- управление
- управления
- многих
- рынок
- массивный
- макс-ширина
- Май..
- значить
- означает
- Между тем
- меры
- встретивший
- может быть
- миллиона
- миллионы
- мин
- смягчать
- смягчающим
- смягчение
- деньги
- Мониторинг
- месяцев
- БОЛЕЕ
- самых
- должен
- сеть
- сетей
- Новые
- номер
- of
- on
- ONE
- онлайн
- непрозрачный
- открытый
- с открытым исходным кодом
- оперативный
- or
- заказ
- организация
- организации
- Другое
- внешний
- Отключения
- контур
- с изложением
- за
- общий
- собственный
- часть
- особый
- партнеры
- вечеринка
- мимо
- Патчи
- Заделка
- ФИЛ
- Часть
- план
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- политика
- Популярное
- возможное
- потенциал
- потенциально
- практиками
- предыдущий
- принцип
- привилегия
- Процедуры
- Продукция
- профессиональный
- FitPartner™
- проектов
- ( изучите наши патенты),
- процветание
- защиту
- поставщики
- публично
- Оферты
- САЙТ
- вымогателей
- последний
- по
- регулярный
- регулярно
- правила
- отчету
- представлять
- репутация
- требовать
- Требования
- Полезные ресурсы
- ответ
- результат
- Итоги
- Показали
- обзоре
- правую
- Снижение
- управление рисками
- рисках,
- главная
- то же
- сканирование
- сценарий
- секреты
- безопасность
- Меры безопасности
- Отправить
- чувствительный
- серьезный
- служит
- обслуживание
- поставщики услуг
- Услуги
- должен
- одинарной
- медленной
- Software
- программные компоненты
- Разработчики программного обеспечения
- некоторые
- иногда
- сложный
- Источник
- исходный код
- конкретный
- стандартов
- начинается
- Шаг
- Шаги
- украли
- украли
- магазин
- впоследствии
- такие
- пострадали
- поставщик
- поставщики
- поставка
- цепочками поставок
- Каналы поставок
- комфортного
- взять
- цель
- команды
- чем
- который
- Ассоциация
- кража
- их
- Их
- тогда
- Там.
- Эти
- они
- этой
- угроза
- актеры угрозы
- Через
- время
- в
- инструментом
- инструменты
- торговать
- традиционный
- перевод
- Доверие
- доверие
- напишите
- Типы
- понимать
- понимание
- до
- Обновление ПО
- обновление
- us
- использование
- полезный
- пользователей
- через
- обычно
- поставщики
- проверено
- с помощью
- видимость
- Уязвимости
- уязвимость
- законопроект
- Путь..
- способы
- пошел
- были
- Что
- когда
- будь то
- , которые
- КТО
- чья
- будете
- работает
- Мир
- Наихудший
- год
- еще
- Ты
- ВАШЕ
- зефирнет