An ninh kinh doanh
Tin tưởng một cách mù quáng vào tình hình bảo mật của đối tác và nhà cung cấp của bạn là không bền vững – đã đến lúc kiểm soát thông qua quản lý rủi ro nhà cung cấp hiệu quả
25 Jan 2024 • , 5 phút đọc
Thế giới được xây dựng trên chuỗi cung ứng. Chúng là mô liên kết tạo điều kiện thuận lợi cho thương mại và thịnh vượng toàn cầu. Nhưng mạng lưới các công ty chồng chéo và có liên quan với nhau này ngày càng phức tạp và không rõ ràng. Hầu hết đều liên quan đến việc cung cấp phần mềm và dịch vụ kỹ thuật số, hoặc ít nhất là phụ thuộc vào các tương tác trực tuyến theo cách nào đó. Điều đó khiến họ có nguy cơ bị gián đoạn và thỏa hiệp.
Đặc biệt, các SMB có thể không chủ động tìm kiếm hoặc có đủ nguồn lực để quản lý bảo mật trong chuỗi cung ứng của họ. Nhưng mù quáng tin tưởng các đối tác và nhà cung cấp của bạn về tư thế an ninh mạng của họ không bền vững trong điều kiện hiện tại. Thật vậy, đã đến lúc phải nghiêm túc thực hiện việc quản lý rủi ro chuỗi cung ứng.
Rủi ro chuỗi cung ứng là gì?
Rủi ro mạng trong chuỗi cung ứng có thể có nhiều hình thức, từ ransomware và đánh cắp dữ liệu đến từ chối dịch vụ (DDoS) và gian lận. Chúng có thể tác động đến các nhà cung cấp truyền thống như các công ty dịch vụ chuyên nghiệp (ví dụ: luật sư, kế toán) hoặc nhà cung cấp phần mềm kinh doanh. Những kẻ tấn công cũng có thể truy lùng các nhà cung cấp dịch vụ được quản lý (MSP), vì bằng cách xâm phạm một công ty theo cách này, chúng có thể có quyền truy cập vào một số lượng lớn các doanh nghiệp khách hàng tiềm năng ở hạ nguồn. Nghiên cứu từ năm ngoái tiết lộ rằng 90% MSP đã bị tấn công mạng trong 18 tháng trước đó.
Dưới đây là một số loại tấn công mạng chính trong chuỗi cung ứng và cách chúng xảy ra:
- Phần mềm độc quyền bị xâm phạm: Tội phạm mạng ngày càng táo bạo hơn. Trong một số trường hợp, họ có thể tìm cách xâm nhập vào các nhà phát triển phần mềm và chèn phần mềm độc hại vào mã sau đó được gửi đến khách hàng phía sau. Đây là điều đã xảy ra trong Chiến dịch ransomware Kaseya. Trong trường hợp gần đây hơn, phần mềm truyền tập tin phổ biến MOVEit đã bị xâm phạm bởi lỗ hổng zero-day và dữ liệu bị đánh cắp từ hàng trăm người dùng doanh nghiệp, ảnh hưởng đến hàng triệu khách hàng của họ. Trong khi đó, sự xâm phạm của phần mềm giao tiếp 3CX đã đi vào lịch sử với tư cách là sự cố được ghi lại công khai đầu tiên về một cuộc tấn công chuỗi cung ứng dẫn đến một cuộc tấn công khác.
- Các cuộc tấn công vào chuỗi cung ứng nguồn mở: Hầu hết các nhà phát triển sử dụng các thành phần nguồn mở để tăng tốc thời gian tiếp thị các dự án phần mềm của họ. Nhưng những kẻ đe dọa biết điều này và đã bắt đầu chèn phần mềm độc hại vào các thành phần và cung cấp chúng trong các kho lưu trữ phổ biến. Một báo cáo tuyên bố số vụ tấn công như vậy đã tăng 633% so với cùng kỳ năm trước. Các tác nhân đe dọa cũng nhanh chóng khai thác các lỗ hổng trong mã nguồn mở mà một số người dùng có thể chậm vá. Đây là điều đã xảy ra khi một lỗi nghiêm trọng được tìm thấy trong một công cụ gần như phổ biến được gọi là Log4j.
- Mạo danh nhà cung cấp để lừa đảo: Các cuộc tấn công tinh vi được gọi là thỏa hiệp email kinh doanh (BEC) đôi khi liên quan đến những kẻ lừa đảo mạo danh nhà cung cấp để lừa khách hàng chuyển tiền cho họ. Kẻ tấn công thường sẽ chiếm đoạt tài khoản email của bên này hoặc bên kia, theo dõi các luồng email cho đến thời điểm thích hợp để xâm nhập và gửi hóa đơn giả với các chi tiết ngân hàng đã bị thay đổi.
- Đánh cắp thông tin xác thực: Kẻ tấn công ăn cắp thông tin đăng nhập của các nhà cung cấp nhằm cố gắng xâm phạm nhà cung cấp hoặc khách hàng của họ (mạng lưới mà họ có thể có quyền truy cập). Đây là những gì đã xảy ra trong vụ vi phạm Target lớn năm 2013 khi tin tặc đã đánh cắp thông tin đăng nhập của một trong những nhà cung cấp HVAC của nhà bán lẻ.
- Trộm cắp dữ liệu: Nhiều nhà cung cấp lưu trữ dữ liệu nhạy cảm về khách hàng của họ, đặc biệt là các công ty như công ty luật giữ bí mật riêng tư của công ty. Chúng đại diện cho một mục tiêu hấp dẫn cho các tác nhân đe dọa đang tìm kiếm thông tin mà chúng có thể kiếm tiền bằng cách tống tiền hoặc các phương tiện khác.
Làm thế nào để bạn đánh giá và giảm thiểu rủi ro nhà cung cấp?
Bất kể loại rủi ro chuỗi cung ứng cụ thể nào, kết quả cuối cùng đều có thể giống nhau: thiệt hại về tài chính và danh tiếng cũng như rủi ro kiện tụng, ngừng hoạt động, mất doanh thu và khách hàng tức giận. Tuy nhiên, có thể quản lý những rủi ro này bằng cách làm theo một số phương pháp hay nhất trong ngành. Dưới đây là tám ý tưởng:
- Thực hiện thẩm định đối với bất kỳ nhà cung cấp mới nào. Điều đó có nghĩa là kiểm tra xem chương trình bảo mật của họ có phù hợp với mong đợi của bạn không và họ có sẵn các biện pháp cơ bản để bảo vệ, phát hiện và ứng phó với mối đe dọa hay không. Đối với các nhà cung cấp phần mềm, vấn đề cũng cần được xem xét là liệu họ có chương trình quản lý lỗ hổng bảo mật hay không và danh tiếng của họ liên quan đến chất lượng sản phẩm của họ như thế nào.
- Quản lý rủi ro nguồn mở. Điều này có thể có nghĩa là sử dụng các công cụ phân tích thành phần phần mềm (SCA) để có được khả năng hiển thị các thành phần phần mềm, bên cạnh việc liên tục quét các lỗ hổng và phần mềm độc hại, đồng thời nhanh chóng vá bất kỳ lỗi nào. Đồng thời đảm bảo nhóm nhà phát triển hiểu tầm quan trọng của bảo mật theo thiết kế khi phát triển sản phẩm.
- Tiến hành đánh giá rủi ro của tất cả các nhà cung cấp. Điều này bắt đầu bằng việc hiểu rõ nhà cung cấp của bạn là ai và sau đó kiểm tra xem họ có áp dụng các biện pháp bảo mật cơ bản hay không. Điều này sẽ mở rộng đến chuỗi cung ứng của riêng họ. Kiểm tra thường xuyên và kiểm tra việc công nhận các tiêu chuẩn và quy định của ngành khi thích hợp.
- Giữ một danh sách tất cả các nhà cung cấp được phê duyệt của bạn và cập nhật thông tin này thường xuyên theo kết quả kiểm tra của bạn. Việc kiểm tra và cập nhật thường xuyên danh sách nhà cung cấp sẽ cho phép các tổ chức tiến hành đánh giá rủi ro kỹ lưỡng, xác định các lỗ hổng tiềm ẩn và đảm bảo rằng các nhà cung cấp tuân thủ các tiêu chuẩn an ninh mạng.
- Thiết lập chính sách chính thức cho nhà cung cấp. Điều này sẽ phác thảo các yêu cầu của bạn để giảm thiểu rủi ro cho nhà cung cấp, bao gồm mọi SLA phải được đáp ứng. Do đó, nó đóng vai trò như một tài liệu nền tảng nêu rõ những kỳ vọng, tiêu chuẩn và quy trình mà nhà cung cấp phải tuân thủ để đảm bảo an ninh cho toàn bộ chuỗi cung ứng.
- Quản lý rủi ro tiếp cận nhà cung cấp. Thực thi nguyên tắc đặc quyền tối thiểu giữa các nhà cung cấp nếu họ yêu cầu quyền truy cập vào mạng công ty. Điều này có thể được triển khai như một phần của Phương pháp tiếp cận Zero Trust, nơi tất cả người dùng và thiết bị đều không đáng tin cậy cho đến khi được xác minh, với tính năng xác thực và giám sát mạng liên tục sẽ bổ sung thêm một lớp giảm thiểu rủi ro.
- Xây dựng kế hoạch ứng phó sự cố. Trong trường hợp xấu nhất xảy ra, hãy đảm bảo bạn có kế hoạch được chuẩn bị kỹ lưỡng để thực hiện nhằm ngăn chặn mối đe dọa trước khi nó có cơ hội ảnh hưởng đến tổ chức. Điều này sẽ bao gồm cách liên lạc với các nhóm làm việc cho nhà cung cấp của bạn.
- Xem xét việc thực hiện các tiêu chuẩn ngành. ISO 27001 và ISO 28000 có rất nhiều cách hữu ích để đạt được một số bước nêu trên nhằm giảm thiểu rủi ro cho nhà cung cấp.
Tại Mỹ năm ngoái, số vụ tấn công chuỗi cung ứng nhiều hơn 40% so với các cuộc tấn công dựa trên phần mềm độc hại, theo một báo cáo. Chúng đã dẫn đến các vi phạm ảnh hưởng đến hơn 10 triệu cá nhân. Đã đến lúc lấy lại quyền kiểm soát thông qua quản lý rủi ro nhà cung cấp hiệu quả hơn.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.welivesecurity.com/en/business-security/assessing-mitigating-cybersecurity-risks-supply-chain/
- : có
- :là
- :không phải
- :Ở đâu
- $ 10 triệu
- 10
- 2013
- a
- Có khả năng
- Giới thiệu
- ở trên
- đẩy nhanh tiến độ
- truy cập
- Theo
- Tài khoản
- công nhận
- Đạt được
- diễn viên
- thêm
- tham gia
- Sau
- Căn chỉnh
- Tất cả
- bên cạnh
- Ngoài ra
- thay đổi
- trong số
- an
- phân tích
- và
- Một
- bất kì
- thích hợp
- phê duyệt
- LÀ
- AS
- đánh giá
- Đánh giá
- đánh giá
- At
- tấn công
- Các cuộc tấn công
- nỗ lực
- hấp dẫn
- kiểm toán
- kiểm toán
- Xác thực
- có sẵn
- trở lại
- Ngân hàng
- Baseline
- BE
- BEC
- bởi vì
- được
- trước
- đã bắt đầu
- thuộc
- BEST
- thực hành tốt nhất
- mù quáng
- vi phạm
- vi phạm
- Bug
- lỗi
- xây dựng
- kinh doanh
- các doanh nghiệp
- nhưng
- by
- Chiến dịch
- CAN
- trường hợp
- trường hợp
- Phân loại
- chuỗi
- chuỗi
- cơ hội
- kiểm tra
- kiểm tra
- khách hàng
- khách hàng
- Khí hậu
- mã
- Giao tiếp
- Các công ty
- công ty
- phức tạp
- các thành phần
- thành phần
- thỏa hiệp
- ảnh hưởng
- Tiến hành
- chứa
- liên tục
- điều khiển
- Doanh nghiệp
- có thể
- quan trọng
- Current
- khách hàng
- không gian mạng
- Tấn công mạng
- An ninh mạng
- hư hại
- dữ liệu
- DDoS
- giao
- Denial of Service
- triển khai
- Thiết kế
- chi tiết
- Phát hiện
- Nhà phát triển
- phát triển
- phát triển
- Thiết bị (Devices)
- kỹ thuật số
- dịch vụ kỹ thuật số
- siêng năng
- Gián đoạn
- do
- tài liệu
- xuống
- hai
- e
- Hiệu quả
- tám
- hay
- cho phép
- cuối
- đảm bảo
- đảm bảo
- đặc biệt
- Sự kiện
- mong đợi
- Khai thác
- thêm
- thêm
- tạo điều kiện
- giả mạo
- Tập tin
- tài chính
- Tìm kiếm
- hãng
- lần đầu tiên
- Chảy
- theo
- tiếp theo
- Trong
- chính thức
- các hình thức
- tìm thấy
- nền tảng
- gian lận
- kẻ lừa đảo
- thường xuyên
- từ
- Thu được
- được
- nhận được
- Toàn cầu
- thương mại toàn cầu
- Go
- xảy ra
- đã xảy ra
- Có
- tại đây
- không tặc
- lịch sử
- Độ đáng tin của
- Hướng dẫn
- HTML
- HTTPS
- Hàng trăm
- ý tưởng
- xác định
- if
- Va chạm
- tác động
- thực hiện
- tầm quan trọng
- in
- sự cố
- ứng phó sự cố
- bao gồm
- Bao gồm
- Tăng lên
- lên
- thực sự
- các cá nhân
- ngành công nghiệp
- tiêu chuẩn công nghiệp
- thông tin
- tương tác
- thân mật
- trong
- hóa đơn
- liên quan
- ISO
- IT
- Tháng
- jpg
- Biết
- nổi tiếng
- lớn
- Họ
- Năm ngoái
- Luật
- công ty luật
- luật sư
- lớp
- hàng đầu
- ít nhất
- liên lạc
- Lượt thích
- Danh sách
- Liệt kê
- tìm kiếm
- thua
- rất nhiều
- Chủ yếu
- Làm
- phần mềm độc hại
- quản lý
- quản lý
- quản lý
- quản lý
- nhiều
- thị trường
- lớn
- max-width
- Có thể..
- nghĩa là
- có nghĩa
- Trong khi đó
- các biện pháp
- hoàn tất
- Might
- triệu
- hàng triệu
- phút
- Giảm nhẹ
- giảm nhẹ
- giảm nhẹ
- tiền
- giám sát
- tháng
- chi tiết
- hầu hết
- phải
- mạng
- mạng
- Mới
- con số
- of
- on
- ONE
- Trực tuyến
- đục
- mở
- mã nguồn mở
- hoạt động
- or
- gọi món
- cơ quan
- tổ chức
- Nền tảng khác
- ra
- Cúp điện
- đề cương
- phác thảo
- kết thúc
- tổng thể
- riêng
- một phần
- riêng
- Đối tác
- bên
- qua
- Vá
- Vá
- PHIL
- Nơi
- kế hoạch
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- điều luật
- Phổ biến
- có thể
- tiềm năng
- có khả năng
- thực hành
- trước
- nguyên tắc
- đặc quyền
- thủ tục
- Sản phẩm
- chuyên nghiệp
- chương trình
- dự án
- độc quyền
- sự thịnh vượng
- bảo vệ
- nhà cung cấp
- công khai
- Puts
- chất lượng
- Nhanh chóng
- ransomware
- gần đây
- về
- đều đặn
- thường xuyên
- quy định
- báo cáo
- đại diện
- danh tiếng
- yêu cầu
- Yêu cầu
- Thông tin
- phản ứng
- kết quả
- Kết quả
- Tiết lộ
- xem xét
- ngay
- Nguy cơ
- quản lý rủi ro
- rủi ro
- bán hàng
- tương tự
- quét
- kịch bản
- bí mật
- an ninh
- Các biện pháp an ninh
- gửi
- nhạy cảm
- nghiêm trọng
- phục vụ
- dịch vụ
- các nhà cung cấp dịch vụ
- DỊCH VỤ
- nên
- duy nhất
- chậm
- Phần mềm
- thành phần phần mềm
- Nhà phát triển phần mềm
- một số
- đôi khi
- tinh vi
- nguồn
- mã nguồn
- riêng
- tiêu chuẩn
- bắt đầu
- Bước
- Các bước
- lấy trộm
- ăn cắp
- hàng
- Sau đó
- như vậy
- chịu đựng
- nhà cung cấp
- nhà cung cấp
- cung cấp
- chuỗi cung ứng
- Chuỗi cung ứng
- bền vững
- Hãy
- Mục tiêu
- đội
- hơn
- việc này
- Sản phẩm
- trộm cắp
- cung cấp their dịch
- Them
- sau đó
- Đó
- Kia là
- họ
- điều này
- mối đe dọa
- diễn viên đe dọa
- Thông qua
- thời gian
- đến
- công cụ
- công cụ
- thương mại
- truyền thống
- chuyển
- NIỀM TIN
- tin tưởng
- kiểu
- loại
- hiểu
- sự hiểu biết
- cho đến khi
- Cập nhật
- cập nhật
- us
- sử dụng
- hữu ích
- Người sử dụng
- sử dụng
- thường
- nhà cung cấp
- xác minh
- thông qua
- khả năng hiển thị
- Lỗ hổng
- dễ bị tổn thương
- là
- Đường..
- cách
- đi
- là
- Điều gì
- khi nào
- liệu
- cái nào
- CHÚNG TÔI LÀ
- có
- sẽ
- với
- đang làm việc
- thế giới
- tệ nhất
- năm
- nhưng
- Bạn
- trên màn hình
- zephyrnet