RSA:sta SolarWindsiin: vuosikymmenen toimitusketjun rikkomuksista opittuja asioita

Viimeisen vuosikymmenen aikana toimitusketjun hyökkäyksistä on tullut yksi johtavista rikkomusten syistä. Yhteydet verkkoon tuovat hyödynnettävissä olevia haavoittuvuuksia ja lisää tietoturvahäiriöiden riskiä. Dan Raywood tutkii, miksi toimitusketju on edelleen niin haastava ongelma organisaatioille, ja tarjoaa ratkaisuja.

Haasteen ymmärtäminen

Toimitusketjuhyökkäysten realiteetit ovat selvästi nähtävissä: alkaen hyökkäys RSA:ta vastaan vuonna 2011, jolloin oli tarkoitus päästä Lockheed Martiniin tapaukseen kymmenen vuotta myöhemmin, jossa uhkatoimijat käyttivät ainakin kolmen yrityksen ohjelmistoja tai valtuustietoja – erityisesti Solarwindsin Orion-ohjelmistoa – hyökätäkseen Yhdysvaltain hallitukseen.

Se, mitä tiedämme toimitusketjuhyökkäyksistä, on luultavasti tallattu polku: hyökkääjät käyttävät hyväkseen yhden entiteetin haavoittuvuutta päästäkseen reitin toiseen ja usein suurempaan yritykseen saavuttaakseen rikkomuksen, oleskellakseen ympäristössä tai tehdäkseen jotain pahaa.

Toimitusketjuhyökkäys vaikuttaa uskomattoman vaikealta estää, koska se sisältää tapahtumaketjun, ja puolustajan on ryhdyttävä vakaviin varotoimiin tietääkseen, kuka on yhteydessä häneen ja mitä tapahtumia hän on kokenut.

Riskin tunnistaminen

BlackBerryn tuore tutkimus todettiin, että 74 % hyökkäyksistä oli peräisin ohjelmiston toimitusketjun jäseniltä, ​​joista yritykset eivät olleet tietoisia tai joita yritykset eivät seuranneet ennen rikkomista.

Kuinka voit olla varma, että yritykseesi yhdistävät tahot ovat turvallisia ja noudattavat samaa vaatimustenmukaisuustasoa kuin yrityksesi? Richard Starnes, Six Degrees Groupin CISO, sanoo, että tämä on mahdollista, jos käytät flow-down -sopimusta, joka edellyttää, että kaikki yritys, jonka kanssa työskentelet, seuraa esimerkkiäsi ja voi siirtyä muille toimittajille.

"Sinulla on asiakkaalle vaatimus, joka määrittelee spesifikaatiot, jotka on täytettävä, ja jos hän ei voi täyttää näitä vaatimuksia, en voi käyttää niitä", Starnes sanoo.

Heikoimman lenkin vahvistaminen

Starnes sanoo, että yksi tärkeimmistä toimitusketjuhyökkäysten mahdollistavista ongelmista on pienten ja keskisuurten yritysten osallistuminen, koska suurempien yritysten on ollut monimutkaisempi päästä sisään, ja viipymäaika ei ole entisellään – Mandiant's 2024 M Trends -raportti totesi, että viipymäaika väheni 16 päivästä kymmeneen vuodesta 2022 vuoteen 2023.

Ian Thornton-Trump, Cyjaxin CISO, sanoo, että toimitusketjun hyökkäyksistä saadut opetukset osoittavat, että asiakkaiden ja toimittajien tietoturvapuutteiden seuraukset on ymmärrettävä paremmin. Mitä voit tehdä, on valvoa heitä ja heidän turva-asentoaan ja niiden turvallisuusvaatimusten noudattamista, ja kun heillä on tietoturvaloukkaus, he ilmoittavat sinulle ensin”, hän sanoo.

"Tässä ei ole kyse vastakkaisesta suhteesta, koska et yritä saada heitä kiinni, mutta se antaa sinulle mahdollisuuden tehdä muutoksia sen sijaan, että siirryt puolustavaan asentoon."

Tämä siirtyy kysymykseen tietoturva-asioista selvittämisestä tiedotusvälineiden kautta sen sijaan, että uhri tiedottaisi suoraan, jolloin voit reagoida tapauksiin ja valvoa niitä.

Luottamukseen perustuvan ekosysteemin rakentaminen

Blackberry-tutkimuksen mukaan 65 % yrityksistä ilmoittaa asiakkailleen tapauksista ja 51 % on huolissaan kielteisestä vaikutuksesta yrityksen maineeseen.

Thornton-Trump sanoo, että ainoa tapa "luottaa, mutta varmistaa" on, että kaikki osapuolet ovat läpinäkyviä, jolloin voit valmistautua rikkomisen varalta ja tiedät kuinka reagoida.

Oikeat vaiheet

Mitkä ovat oikeat vaiheet varmistaaksesi, että löydät kaikki aukot, joiden läpi hyökkääjä voi lyödä sinua, mukaan lukien ammatti- ja mahdollisesti jopa säännösten mukaiset yritykset? Ohjaus Yhdistyneen kuningaskunnan toimitusketjun turvallisuutta käsittelevä kansallinen kyberturvallisuuskeskus suosittelee useita periaatteita, joihin kuuluu toimittajasi tunteminen, ymmärryksen luominen heidän turvallisuutensa näyttämisestä ja toimintasuunnitelman laatiminen.

Nämä suositukset edellyttävät myös vahvaa riippuvuutta tavarantoimittajien turvajärjestelyistä. Tämä voi tarkoittaa sitä, että "mahdollisilta toimittajilta vaaditaan näyttöä suhtautumisestaan ​​turvallisuuteen ja kyvystään täyttää vähimmäisturvavaatimukset, jotka olet asettanut sopimuskilpailun eri vaiheissa" ja selittämään näiden vaatimusten perusteet toimittajillesi, jotta he ymmärtävät, mitä vaaditaan.

Vakiintuneiden kehysten ja standardien hyödyntäminen

ISO 27001 -standardin noudattaminen voi auttaa varmistamaan, että toimittajasi ovat samalla tasolla kuin sinä. Sen avulla voit arvioida tavarantoimittajiasi paremmin ja vaatia niiden noudattamista ilman tarkistuslistaa tai kyselylomaketta.

Kolmannen osapuolen palveluntarjoajien on otettava käyttöön asianmukaiset suojatoimenpiteet, joita seurataan ja tarkistetaan säännöllisesti tehdessään yhteistyötä ISO 27001 -standardia käyttävien yritysten kanssa.

vakiona toimittajien hallinnan suojakaiteena. Sam Peters, ISMS.onlinen CPO selittää, "tämän avulla organisaatiot voivat tunnistaa, arvioida ja käsitellä ulkoisiin toimittajiin liittyviä turvallisuusriskejä ja antaa yrityksille mahdollisuuden asettaa ennalta määritellyt turvallisuuskriteerit ja suorittaa määräajoin arviointeja, mikä varmistaa jatkuvan vaatimustenmukaisuuden ja turvallisuuden."

ISO 27001 edellyttää myös yrityksiä ylläpitämään kattavaa kirjaa kaikista kolmansien osapuolten vuorovaikutuksista, mukaan lukien riskien arvioinnit, sopimuksissa määrätyt turvallisuusvaatimukset ja jatkuva suorituskyvyn seuranta.

Lopulta Peters väittää: "ISO 27001 luo perustan tiukille kumppanien ja toimittajien tarkastusprosesseille, vankille kumppanuussopimuksille ja jatkuvan parantamisen kulttuurille, mikä antaa sinulle turvamääräyksen tason, jonka pitäisi antaa sinulle lisää luottamusta."

Kolmas ja neljäs yhteys

Toinen näkökohta on edelleen siirtyminen kolmannen ja neljännen osapuolen yhteyksiin. Tutkimus julkaistu Aiemmin tänä vuonna Security Scorecard totesi, että 97 prosentilla Yhdistyneen kuningaskunnan yrityksistä kolmannen osapuolen ekosysteemissä on rikottu kokonaisuus.

Starnes sanoi, että monet yritykset luokittelevat toimittajansa ja heillä on toimittajan kuvaus, joka sanelee säännösten noudattamisen, jonka ne asettavat kyseiselle taholle.

"Ykköstason toimittajalle käyttäisit joka vuosi täytettävää kyselyä, kun taas kakkostason toimittajalle tehtäisiin vähemmän syvällinen kysely kahden vuoden välein.

"Kolmannelle tason toimittajalle on toinen kyselylomake ja ilmoitus siitä, milloin tapahtuu olennainen muutos tai tapaus, ja näin monia niistä hallitaan."

Resurssihaasteiden voittaminen

Vaikka toimitusketjun turvallisuuden hallinta voi olla resurssivaltaista, ponnistelu maksaa itsensä takaisin pitkällä aikavälillä. Aikasitoumuksesta huolimatta toimitusketjun organisointi ja auditointi on välttämätöntä turvallisen verkon ylläpitämiseksi. Tämän prosessin osien automatisointi ja vaatimustenmukaisuusstandardien hyödyntäminen voivat tehostaa toimia ja vähentää turvallisuustiimien taakkaa.

Polku eteenpäin

Ottamalla "luotta, mutta varmista" -lähestymistavan ja edistämällä avoimuutta yritykset voivat vahvistaa toimitusketjujaan mahdollisia uhkia vastaan. Jatkuva seuranta, selkeä viestintä ja vaatimustenmukaisuusstandardien noudattaminen ovat ratkaisevan tärkeitä kestävän ja turvallisen toimitusketjun luomisessa. Vaikka haaste on merkittävä, ennakoivat ja myönteiset strategiat, mukaan lukien ISMS:n käyttöönotto, voivat vaikuttaa merkittävästi toimitusketjun hyökkäyksiä vastaan.