Безпека бізнесу
Сліпо довіряти своїм партнерам і постачальникам щодо їхньої безпеки не є стійким – настав час взяти під контроль за допомогою ефективного управління ризиками постачальників
Січень 25 2024 • , 5 хв. читати
Світ побудований на ланцюгах поставок. Вони є сполучною тканиною, яка сприяє глобальній торгівлі та процвітанню. Але ці мережі пересічних і взаємопов’язаних компаній стають дедалі складнішими та непрозорими. Більшість із них передбачає постачання програмного забезпечення та цифрових послуг або, принаймні, певним чином залежить від онлайн-взаємодії. Це ставить їх під загрозу зриву та компромісу.
Особливо малий і середній бізнес може не прагнути або не мати ресурсів для управління безпекою в своїх ланцюгах постачання. Але наосліп довіряти своїм партнерам і постачальникам щодо їх стану кібербезпеки не є стійким у нинішньому кліматі. Дійсно, настав (минулий) час серйозно підійти до управління ризиками в ланцюзі поставок.
Що таке ризик ланцюжка поставок?
Кіберризики в ланцюжку поставок можуть приймати різні форми, від вимагачів від крадіжки даних до відмови в обслуговуванні (DDoS) і шахрайства. Вони можуть впливати на традиційних постачальників, таких як фірми, що надають професійні послуги (наприклад, юристи, бухгалтери), або постачальники програмного забезпечення для бізнесу. Зловмисники можуть також переслідувати постачальників керованих послуг (MSP), оскільки, скомпрометувавши таким чином одну компанію, вони можуть отримати доступ до потенційно великої кількості клієнтів, що знаходяться нижче за течією. Дослідження минулого року показало, що 90% MSP зазнали кібератак за попередні 18 місяців.
Ось деякі з основних типів кібератак ланцюга поставок і як вони відбуваються:
- Порушене власне програмне забезпечення: Кіберзлочинці стають сміливішими. У деяких випадках їм вдалося знайти спосіб скомпрометувати розробників програмного забезпечення та вставити зловмисне програмне забезпечення в код, який згодом доставляється подальшим клієнтам. Ось що сталося в Кампанія програм-вимагачів Kaseya. У нещодавньому випадку популярне програмне забезпечення для передачі файлів MOVEit було зламано через уразливість нульового дня та дані, викрадені у сотень корпоративних користувачів, що вплинуло на мільйони їхніх клієнтів. Тим часом, компрометація комунікаційного програмного забезпечення 3CX увійшов в історію як перший в історії публічно задокументований випадок, коли одна атака на ланцюг постачання призвела до іншої.
- Атаки на ланцюжки поставок з відкритим кодом: Більшість розробників використовують компоненти з відкритим вихідним кодом, щоб пришвидшити час виходу своїх програмних проектів на ринок. Але зловмисники це знають і почали вставляти шкідливі програми в компоненти та робити їх доступними в популярних сховищах. Один звіт стверджує кількість таких атак зросла на 633% порівняно з минулим роком. Зловмисники також швидко використовують уразливості у відкритому вихідному коді, які деякі користувачі можуть повільно виправляти. Ось що сталося, коли в майже всюдисущому інструменті було виявлено критичну помилку відомий як Log4j.
- Видача себе за постачальника з метою шахрайства: Складні атаки, відомі як компроміс ділової електронної пошти (BEC) іноді залучають шахраїв, які видають себе за постачальників, щоб обманом змусити клієнта переказати їм гроші. Зловмисник зазвичай захоплює обліковий запис електронної пошти, що належить одній чи іншій стороні, відстежуючи потоки електронної пошти, поки не настане відповідний час, щоб втрутитися та надіслати підроблений рахунок-фактуру зі зміненими банківськими реквізитами.
- Крадіжка облікових даних: Зловмисники вкрасти логіни постачальників у спробі зламати постачальника або їхніх клієнтів (до чиїх мереж вони можуть мати доступ). Це те, що сталося під час масового порушення Target у 2013 році хакери вкрали облікові дані одного з постачальників систем HVAC для роздрібної торгівлі.
- Крадіжка даних: Багато постачальників зберігають конфіденційні дані про своїх клієнтів, особливо такі компанії, як юридичні фірми, які посвячені в інтимну корпоративну таємницю. Вони є привабливою мішенню для загрозливих суб’єктів, які шукають доступну інформацію монетизувати за допомогою вимагання або іншими засобами.
Як ви оцінюєте та зменшуєте ризик постачальника?
Незалежно від конкретного типу ризику ланцюга постачання, кінцевий результат може бути однаковим: фінансова шкода та репутаційна шкода, ризик судових позовів, збоїв у роботі, втрати продажів і розлючених клієнтів. Тим не менш, можна керувати цими ризиками, дотримуючись деяких найкращих галузевих практик. Ось вісім ідей:
- Проводити належну перевірку будь-якого нового постачальника. Це означає перевірку того, що їхня програма безпеки відповідає вашим очікуванням, і чи мають вони базові заходи для захисту, виявлення та реагування на загрози. Постачальники програмного забезпечення також мають поширюватися на те, чи мають вони програму керування вразливістю та яку репутацію мають щодо якості їхніх продуктів.
- Керуйте ризиками відкритого коду. Це може означати використання інструментів аналізу складу програмного забезпечення (SCA) для отримання видимості компонентів програмного забезпечення, поряд із безперервним скануванням на наявність вразливостей і зловмисного програмного забезпечення та швидким виправленням будь-яких помилок. Також переконайтеся, що команди розробників розуміють важливість безпеки за проектом під час розробки продуктів.
- Проведіть аналіз ризиків усіх постачальників. Це починається з розуміння того, хто є вашими постачальниками, а потім перевірки, чи впроваджено в них базові заходи безпеки. Це має поширюватися на їхні власні ланцюжки поставок. Часто проводите аудит і перевіряйте відповідність галузевим стандартам і правилам, якщо це необхідно.
- Зберігайте список усіх затверджених вами постачальників і регулярно оновлюйте це відповідно до результатів вашого аудиту. Регулярний аудит і оновлення списку постачальників дозволить організаціям проводити ретельну оцінку ризиків, виявляти потенційні вразливі місця та гарантувати, що постачальники дотримуються стандартів кібербезпеки.
- Встановіть офіційну політику для постачальників. Тут мають бути окреслені ваші вимоги щодо зменшення ризику постачальника, включно з будь-якими угодами про рівень обслуговування, які мають бути виконані. Таким чином, він служить основоположним документом, в якому викладаються очікування, стандарти та процедури, яких повинні дотримуватися постачальники, щоб гарантувати безпеку всього ланцюжка поставок.
- Керуйте ризиками доступу постачальника. Застосуйте принцип найменших привілеїв серед постачальників, якщо їм потрібен доступ до корпоративної мережі. Це можна розгорнути як частину a Підхід нульової довіри, де всі користувачі та пристрої є ненадійними, доки не буде перевірено, а постійна автентифікація та моніторинг мережі додають додатковий рівень зменшення ризику.
- Розробіть план реагування на інцидент. У разі найгіршого сценарію переконайтеся, що у вас є добре відпрацьований план, якого слід дотримуватися, щоб стримати загрозу, перш ніж вона матиме шанс вплинути на організацію. Це включатиме, як підтримувати зв’язок із командами, які працюють на ваших постачальників.
- Розгляньте можливість впровадження галузевих стандартів. ISO 27001 та ISO 28000 є багато корисних способів досягнення деяких із перелічених вище кроків, щоб мінімізувати ризик постачальника.
Згідно з даними, минулого року в США було на 40% більше атак на ланцюги поставок, ніж атак на основі шкідливих програм один звіт. Вони призвели до порушень, які торкнулися понад 10 мільйонів осіб. Настав час повернути контроль за допомогою більш ефективного управління ризиками постачальників.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.welivesecurity.com/en/business-security/assessing-mitigating-cybersecurity-risks-supply-chain/
- : має
- :є
- : ні
- :де
- $ 10 мільйонів
- 10
- 2013
- a
- Здатний
- МЕНЮ
- вище
- прискорювати
- доступ
- За
- рахунки
- акредитації
- Achieve
- актори
- додати
- дотримуватися
- після
- Вирівнює
- ВСІ
- пліч-о-пліч
- Також
- змінений
- серед
- an
- аналіз
- та
- Інший
- будь-який
- відповідний
- затверджений
- ЕСТЬ
- AS
- оцінити
- Оцінювання
- оцінки
- At
- атака
- нападки
- спроба
- привабливий
- аудит
- аудит
- Authentication
- доступний
- назад
- Банк
- Базова лінія
- BE
- BEC
- оскільки
- було
- перед тим
- почався
- належність
- КРАЩЕ
- передового досвіду
- сліпо
- порушення
- порушення
- Помилка
- помилки
- побудований
- бізнес
- підприємства
- але
- by
- Кампанія
- CAN
- випадок
- випадків
- Категорія
- ланцюг
- ланцюга
- шанс
- перевірка
- контроль
- клієнт
- клієнтів
- клімат
- код
- Комунікація
- Компанії
- компанія
- комплекс
- Компоненти
- склад
- компроміс
- компрометуючі
- Проводити
- містити
- безперервний
- контроль
- Корпоративний
- може
- критичний
- Поточний
- Клієнти
- кібер-
- Кібератака
- Кібербезпека
- пошкодження
- дані
- DDoS
- поставляється
- Відмова в обслуговуванні
- розгорнути
- дизайн
- деталі
- Виявлення
- Розробник
- розробників
- розвивається
- прилади
- цифровий
- цифрові послуги
- старанність
- Зрив
- do
- документ
- вниз
- два
- e
- Ефективний
- вісім
- або
- включіть
- кінець
- забезпечувати
- забезпечення
- особливо
- Event
- очікування
- Експлуатувати
- продовжити
- додатково
- полегшує
- підроблений
- філе
- фінансовий
- знайти
- фірми
- перше в історії
- Потоки
- стежити
- після
- для
- формальний
- форми
- знайдений
- фундаментальні
- шахрайство
- шахраї
- часто
- від
- Отримувати
- отримати
- отримання
- Глобальний
- світової торгівлі
- Go
- траплятися
- сталося
- Мати
- тут
- викрадати
- історія
- Як
- How To
- HTML
- HTTPS
- Сотні
- ідеї
- ідентифікує
- if
- Impact
- впливає
- реалізації
- значення
- in
- інцидент
- реагування на інциденти
- включати
- У тому числі
- Augmenter
- все більше і більше
- дійсно
- осіб
- промисловість
- галузеві стандарти
- інформація
- Взаємодії
- інтимний
- в
- рахунок-фактура
- залучати
- ISO
- IT
- січень
- JPG
- Знати
- відомий
- великий
- останній
- Минулого року
- закон
- юридичні фірми
- адвокати
- шар
- провідний
- найменш
- підтримувати зв'язок
- як
- список
- Перераховані
- шукати
- втрачений
- багато
- головний
- Робить
- шкідливих програм
- управляти
- вдалося
- управління
- управління
- багато
- ринок
- масивний
- макс-ширина
- Може..
- значити
- засоби
- Між тим
- заходи
- зустрів
- може бути
- мільйона
- мільйони
- хвилин
- Пом'якшити
- пом’якшення
- пом'якшення
- гроші
- моніторинг
- місяців
- більше
- найбільш
- повинен
- мережу
- мереж
- Нові
- номер
- of
- on
- ONE
- онлайн
- непрозорий
- відкрити
- з відкритим вихідним кодом
- оперативний
- or
- порядок
- організація
- організації
- Інше
- з
- Недоліки
- план
- окреслення
- над
- загальний
- власний
- частина
- приватність
- партнери
- партія
- Минуле
- пластир
- Виправлення
- ФІЛ
- місце
- план
- plato
- Інформація про дані Платона
- PlatoData
- політика
- популярний
- це можливо
- потенціал
- потенційно
- практики
- попередній
- принцип
- привілей
- Процедури
- Продукти
- професійний
- програма
- проектів
- власником
- процвітання
- захист
- провайдери
- публічно
- Ставить
- якість
- Швидко
- вимагачів
- останній
- про
- регулярний
- регулярно
- правила
- звітом
- представляти
- репутація
- вимагати
- Вимога
- ресурси
- відповідь
- результат
- результати
- Показали
- огляд
- право
- Risk
- управління ризиками
- ризики
- продажів
- то ж
- сканування
- сценарій
- секрети
- безпеку
- Заходи безпеки
- послати
- чутливий
- серйозний
- служить
- обслуговування
- постачальники послуг
- Послуги
- Повинен
- один
- сповільнювати
- Софтвер
- програмні компоненти
- Розробники ПЗ
- деякі
- іноді
- складний
- Source
- вихідні
- конкретний
- стандартів
- починається
- Крок
- заходи
- вкрав
- вкрали
- зберігати
- Згодом
- такі
- страждав
- постачальник
- постачальники
- поставка
- ланцюжка поставок
- Ланцюги постачання
- сталого
- Приймати
- Мета
- команди
- ніж
- Що
- Команда
- крадіжка
- їх
- Їх
- потім
- Там.
- Ці
- вони
- це
- загроза
- актори загроз
- через
- час
- до
- інструмент
- інструменти
- торгувати
- традиційний
- переклад
- Довіряйте
- довірливий
- тип
- Типи
- розуміти
- розуміння
- до
- Оновити
- оновлення
- us
- використання
- корисний
- користувачі
- використання
- зазвичай
- постачальники
- перевірено
- через
- видимість
- Уразливості
- вразливість
- було
- шлях..
- способи
- пішов
- були
- Що
- коли
- Чи
- який
- ВООЗ
- чий
- волі
- з
- робочий
- світ
- найгірше
- рік
- ще
- Ти
- вашу
- зефірнет