Van RSA tot SolarWinds: Lesse geleer uit 'n dekade van voorsieningskettingoortredings
INHOUDSOPGAWE:
Oor die afgelope dekade het aanbodkettingaanvalle een van die hoofoorsake van oortredings geword. Verbindings in 'n netwerk bring uitbuitbare kwesbaarhede en 'n verhoogde risiko van sekuriteitsinsidente. Dan Raywood ondersoek hoekom die voorsieningsketting so 'n uitdagende probleem vir organisasies bly en bied 'n paar oplossings.
Verstaan die uitdaging
Die realiteite van voorsieningskettingaanvalle is duidelik om te sien: uit die aanval op RSA terug in 2011, waar daar 'n voorneme was om in Lockheed Martin te kom, na die voorval tien jaar later, waar bedreigingsakteurs sagteware of geloofsbriewe van ten minste drie maatskappye – veral Solarwinds se Orion-sagteware – uitgebuit het om die Amerikaanse regering te tref.
Wat ons van voorsieningskettingaanvalle weet, is waarskynlik 'n goed getrapte pad: aanvallers buit 'n kwesbaarheid in een entiteit uit om 'n roete na 'n ander en dikwels groter besigheid te kry om 'n breuk te bewerkstellig, in 'n omgewing te woon of iets onheilspellend.
’n Voorsieningskettingaanval lyk ongelooflik moeilik om te voorkom aangesien dit ’n ketting van gebeure behels, en ’n verdediger sal ernstige voorsorgmaatreëls moet tref om te weet wie met hulle verbind is en watter voorvalle hulle ervaar het.
Erken die risiko
Onlangse navorsing van BlackBerry bevind dat 74% van aanvalle het ontstaan van lede van die sagteware-voorsieningsketting waarvan maatskappye onbewus was of nie gemonitor het voor die oortreding nie.
Hoe kan jy seker wees dat die entiteite wat met jou besigheid verbind, veilig is en aan dieselfde vlak van voldoening as jou besigheid voldoen? Richard Starnes, CISO van Six Degrees Group, sê dit is moontlik as jy 'n afvloeikontrak gebruik, wat vereis dat enige maatskappy waarmee jy werk, jou leiding moet volg en na ander verskaffers kan afrol.
"Jy het 'n vereiste vir 'n kliënt wat spesifikasies uiteensit waaraan voldoen moet word, en as hulle nie aan hierdie spesifikasies kan voldoen nie, kan ek dit nie gebruik nie," sê Starnes.
Versterking van die swakste skakel
Starnes sê een van die hoofkwessies wat voorsieningskettingaanvalle moontlik maak, is die betrokkenheid van klein en medium ondernemings, aangesien groter ondernemings meer ingewikkeld was om te betree, en verblyftyd is nie wat dit was nie—Mandiant's 2024 M Trends verslag het opgemerk dat verblyftyd vanaf 16 tot 2022 van 2023 dae tot tien af was.
Ian Thornton-Trump, Cyjax se CISO, sê lesse wat uit voorsieningkettingaanvalle geleer is, wys dat daar 'n beter begrip moet wees van die gevolge van jou kliënte en verskaffers se sekuriteitsmislukkings.” Wat jy kan doen, is om hulle en hul sekuriteitsposisie en hul sekuriteitsnakomingsvereistes te monitor, en wanneer hulle 'n sekuriteitsbreuk het, stel hulle jou eers in kennis,” sê hy.
"Dit gaan nie oor 'n teenstrydige verhouding nie, want jy probeer hulle nie uitvang nie, maar dit gee jou 'n geleentheid om veranderinge aan te bring eerder as om in 'n verdedigende houding in te beweeg."
Dit beweeg na die kwessie om uit te vind oor sekuriteitskwessies via die media eerder as om direk deur die slagoffer ingelig te word, wat jou in staat stel om insidentreaksie en toesig te doen.
Bou 'n trustgebaseerde ekosisteem
Die Blackberry-navorsing het bevind dat 65% van maatskappye hul kliënte oor voorvalle inlig, met 51% bekommerd oor die negatiewe impak op korporatiewe reputasie.
Thornton-Trump sê die enigste manier om te 'vertrou maar te verifieer' is as daar deursigtigheid aan alle kante is, wat jou toelaat om voorbereidings te tref ingeval 'n oortreding plaasvind en jy weet hoe om te reageer.
Korrekte stappe
Wat is die korrekte stappe om te verseker dat jy al die leemtes vind waardeur 'n aanvaller jou kan tref, insluitend professionele—en moontlik selfs voldoenende—besighede? Leiding van die Verenigde Koninkryk se Nasionale Kuberveiligheidsentrum oor voorsieningskettingsekuriteit beveel 'n reeks beginsels aan, wat insluit om te weet wie jou verskaffers is, 'n begrip te bou van hoe hul sekuriteit lyk, en 'n plan van aksie te vorm.
Hierdie aanbevelings vereis ook groot vertroue op jou verskaffers se sekuriteitsreëlings. Dit kan behels dat "voornemende verskaffers bewys moet lewer van hul benadering tot sekuriteit en hul vermoë om te voldoen aan die minimum-sekuriteitsvereistes wat jy in verskillende stadiums van die kontrakkompetisie gestel het" en die rede vir hierdie vereistes aan jou verskaffers verduidelik sodat hulle verstaan wat word benodig.
Gebruik van gevestigde raamwerke en standaarde
Die handhawing van voldoening aan ISO 27001 kan help om te verseker dat jou verskaffers op dieselfde vlak as jy is. Dit kan jou in staat stel om jou verskaffers beter te ondersoek en aan te dring op hul vlak van voldoening sonder om 'n kontrolelys of vraelys te vereis.
Derdeparty diensverskaffers moet toepaslike sekuriteitsmaatreëls implementeer wat gereeld gemonitor en hersien word wanneer hulle met besighede werk wat die ISO 27001 gebruik
standaard as 'n vangrail vir verskafferbestuur. Sam Peters, CPO van ISMS.online verduidelik, "dit stel organisasies in staat om sekuriteitsrisiko's wat aan eksterne verskaffers gekoppel is te identifiseer, te evalueer en aan te spreek en stel maatskappye in staat om vooraf gedefinieerde sekuriteitskriteria op te stel en periodieke assesserings uit te voer, om deurlopende voldoening en sekuriteit te verseker."
ISO 27001 vereis ook van ondernemings om omvattende rekords van alle derdeparty-interaksies in stand te hou, insluitend risiko-evaluerings, sekuriteitsvereistes wat in kontrakte bepaal word, en deurlopende prestasiemonitering.
Uiteindelik, voer Peters aan, "ISO 27001 lê die grondslag vir streng vennoot- en verskaffer-keuringsprosesse, robuuste vennootskapsooreenkomste en 'n kultuur van voortdurende verbetering, wat jou 'n vlak van sekuriteitsregulering gee wat jou ekstra vertroue behoort te gee."
Derde en vierde verbindings
Nog 'n oorweging is die verdere vloei na derde- en vierdeparty-verbindings. Navorsing vrygestel vroeër vanjaar van Security Scorecard gevind dat 97% van maatskappye in die Verenigde Koninkryk 'n geskendte entiteit in hul derdeparty-ekosisteem het.
Starnes het gesê dat baie maatskappye hul verskaffers in rangorde het en 'n beskrywing van die verskaffer het wat die regulatoriese nakoming bepaal wat hulle op daardie entiteit plaas.
“Vir 'n vlak een-verskaffer sal jy 'n vraelys gebruik wat elke jaar geadministreer word, terwyl jy vir 'n vlak twee elke twee jaar 'n minder in-diepte vraelys sal laat doen.
"Vir 'n vlak drie-verskaffer het jy nog 'n vraelys en 'n kennisgewing vir wanneer daar 'n wesenlike verandering of 'n voorval is, en dit is hoeveel van hulle bestuur word."
Oorkom hulpbronuitdagings
Alhoewel die bestuur van voorsieningskettingsekuriteit hulpbron-intensief kan wees, betaal die moeite op die lang termyn vrugte af. Ten spyte van die tydstoewyding, is die organisering en ouditering van jou voorsieningsketting noodsaaklik vir die handhawing van 'n veilige netwerk. Die outomatisering van dele van hierdie proses en die gebruik van voldoeningstandaarde kan pogings stroomlyn en die las op sekuriteitspanne verminder.
'N Pad vorentoe
Deur 'n 'vertrou maar verifieer'-benadering aan te neem en deursigtigheid te bevorder, kan besighede hul voorsieningskettings teen potensiële bedreigings versterk. Deurlopende monitering, duidelike kommunikasie en nakoming van voldoeningstandaarde is van kardinale belang om 'n veerkragtige en veilige voorsieningsketting te skep. Alhoewel die uitdaging beduidend is, kan proaktiewe en positiewe strategieë, insluitend die aanvaarding van 'n ISMS, 'n wesenlike verskil maak in die beveiliging teen voorsieningskettingaanvalle.
