Hoe hoëprofiel-kubervoorvalle die werklike besigheidsimpak van kwesbaarhede in die voorsieningsketting demonstreer

Kuberbreuke saai verwoesting in besighede. Hulle kan maatskappye se bedrywighede tot stilstand bring, hul koffers dreineer en kliëntevertroue ondermyn. Dikwels word hulle nie veroorsaak deur IT-kwesbaarhede in slagoffers se eie IT-stelsels nie, maar eerder dié wat in hul digitale voorsieningskettings bestaan.

'n Onlangse voorbeeld hiervan is toe Jaguar Land Rover (JLR) 'n katastrofiese kuberaanval ervaar het wat kenners by die Cyber ​​Monitoring Centre (CMC) skat hanteer 'n Knalslag van £1.9 miljard vir die breër Britse ekonomie. Die motorvervaardiger moes produksie vir etlike weke staak, wat groei in Brittanje se motorbedryf belemmer het. Daar word geglo dat die onderling gekoppelde aard van Jaguar Land Rover se globale IT-stapel, die integrasie daarvan met operasionele tegnologieë wat fabrieke aandryf en die afhanklikheid van voorsieningskettingstelsels hackers toegelaat het om vinnig te werk terwyl dit dit vir sy IT-spanne moeiliker gemaak het om die aanval te isoleer.

Ander duur kuberaanvalle in die voorsieningsketting het Marks & Spencer (M&S) en Co-op vanjaar beïnvloed. M&S het 'n £ 300 miljoen winste getref, terwyl Co-op verwag om te verloor £ 120 miljoen in volle jaarverdienste. Beide voorvalle het daartoe gelei dat die kleinhandelaars voorraadtekorte ervaar het, wat die operasionele ontwrigting wat kuberkrakers op besighede kan hê, beklemtoon. En dit is veroorsaak deur kwesbaarhede in 'n derdeparty-verskaffer – uitgebuit deur middel van sosiale manipulasietaktieke.

Met 'n mengsel van kwesbaarhede in die voorsieningsketting en swak IT-bestuurspraktyke wat bydra tot die JLR-, M&S- en Co-op-kuberaanvalle, wat kan besighede anders doen om hul kuberverdediging en digitale voorsieningskettings te versterk?

'N Domino -effek

Vandag maak moderne besighede sterk staat op 'n ekosisteem van verskeie platforms, sagteware, toepassings en fisiese tegnologieë – alles verskaf deur verskillende verskaffers – om kop bo water te hou. En wanneer kubermisdadigers een deel daarvan oortree, is die gevolge ondenkbaar en moeilik om te beheer.

“’n Enkele gekompromitteerde afhanklikheid veroorsaak nie net ’n tegniese onderbreking vir ’n dag nie,” sê Tom Finch, ingenieursleier by die houersekuriteitsagtewareverskaffer Chainguard. “Dit veroorsaak ’n kettingreaksie van operasionele ontwrigting, noodopdateringsiklusse, kliënte-angs en regulatoriese oudits wat weke en soms maande neem om te herstel.”

Sodra hierdie kettingreaksie ontbrand, word verskillende areas van die besigheid – almal verbind deur sagteware – vinnig geraak. Pete Hannah, visepresident van Wes-Europa by die rugsteunbergingsverskaffer Object First, verduidelik dat 'n enkele gekompromitteerde verskaffer 'n rimpeleffek dwarsdeur die slagofferorganisasie kan hê, wat die "bedrywighede, aflewering, kliëntinteraksies en finansiële prestasie" nadelig kan beïnvloed.

Hannah voeg by dat selfs die kleinste onderbrekings in die voorsieningsketting "produksievertragings, kontraktuele boetes en kliënteverloop" kan veroorsaak. En hoewel herstel hiervan 'n firma se finansies swaar kan tref, glo hy dat die "erosie van vertroue selfs meer blywend kan wees".

Swak Digitale Voorsieningskettings

Aanvalle op die voorsieningsketting het 'n gereelde bron van ontwrigting in vandag se sakelandskap geword. En die rede is as gevolg van "strukturele" kwesbaarhede wat regdeur digitale voorsieningskettings bestaan, volgens Pierre Noel, veld-CISO EMEA by die bestuurde opsporing- en reaksieverskaffer Expel.

Alhoewel besighede toenemend staatmaak op interafhanklike stelsels en tegnologieë, sê Noel dat hulle verswak word deur "onbekende of swak gevalideerde sekuriteitsposisies" wat tans in alle dele van die digitale voorsieningsketting teenwoordig is. Hy voeg by dat die gevolg 'n gebrek aan sigbaarheid en aanspreeklikheid is, wat beteken dat voorsieningskettingaanvalle dikwels vir beduidende tydperke ongemerk bly, en niemand is heeltemal seker hoe om dit te hanteer of wie die skuld dra nie.

Hierdie sentiment word beaam deur Finch van Chainguard, wat sagteware-voorsieningskettings as "struktureel broos" beskryf. Hy sê 'n "sekuriteitsblindekol" word geskep deur die "onderlinge verbondenheid" van moderne sagteware, wat uit baie verskillende komponente bestaan ​​wat "deur duisende mense gebou en onderhou word".

Benewens 'n swak en gefragmenteerde sagteware-voorsieningsketting, waarsku Object First se Hannah dat baie organisasies versuim om die sekuriteit van hul derdeparty-verskaffers gereeld te kontroleer. Terselfdertyd sê hy dat kubermisdadigers gereeld "sagteware-opdaterings, bevoorregte toegang, derdeparty-geloofsbriewe en konfigurasie-drywing" uitbuit terwyl hulle 'n toegangspad tot voorsieningskettings en natuurlik ondernemings soek.

Hy sê vir IO: “Tensy besighede voortdurend hul voorsieningsketting-veerkragtigheid evalueer en toets, eerder as om op periodieke voldoeningskontroles staat te maak, sal dieselfde patrone van ontwrigting voortduur.”

Goeie Verskaffersbestuur is noodsaaklik

Met digitale voorsieningskettings wat meer kwesbaar is as ooit tevore, het dit 'n dringende saak geword vir besighede om hul verskaffer- en kliëntebestuurspraktyke te verbeter. Vir Hannah van Object First beteken dit om verder as verskafferkontrakte te gaan en voor te berei vir voorsieningskettingaanvalle "op 'n gekoördineerde manier".

Om dit te doen, sê hy dat organisasies nou saam met hul verskaffers moet werk om voorvalreaksieplanne te skep en af ​​te dwing. Terselfdertyd moet rolle en verantwoordelikhede duidelik wees sodat “herstel vinniger is en ontwrigting beperk word”.

Nog 'n kenner wat die voordeel van noue koördinering tussen besighede en verskaffers in die vermindering van sekuriteitsrisiko's in die voorsieningsketting sien, is Finch van Chainguard. Hy sê dat wanneer alle belanghebbendes binne die voorsieningsketting saamwerk aan "voorvalreaksierolle en kommunikasiepaaie", organisasies met groter spoed en presisie op aanvalle kan reageer. Hy voeg by: "Saam verminder hierdie praktyke die omvang en onsekerheid van voorvalle lank voordat dit finansiële of reputasieprobleme word."

Versagtende pogings deur verbeterde verskafferskoördinering is egter nie net belangrik nie. Firmas moet ook voorberei vir die ergste uitkoms van kuberaanvalle, wat dikwels 'n ineenstorting van kliëntevertroue is. Vir Noel van Expel beteken dit "duidelike aanspreeklikheid, kontraktuele oudit vir hoërrisikoverskaffers, deursigtige kommunikasie en gekoördineerde voorvalreaksie". Hy voeg by: "Kliënte verwag nie perfeksie nie; hulle verwag spoed, eerlikheid en bekwaamheid."

Ander veranderinge

Is enige ander veranderinge nodig, benewens gesonde verskaffer- en kliëntebestuurspraktyke? Vir Noel van Expel is die antwoord 'n klinkende ja – hy sê organisasies moet nie meer voorsieningskettingsekuriteit as 'n eenmalige oefening beskou nie. Dit beteken dat "reaktiewe oplossings" vervang moet word met "proaktiewe risikobestuur", met KISO's wat nou saam met verskaffers werk om digitale voorsieningskettings te versterk.

Chainguard se Finch stem saam met Noel, wat sê organisasies en derdeparty-verskaffers moet voorsieningskettingsekuriteit as 'n "gedeelde sakeverantwoordelikheid" beskou. Dit vereis dat sakeleiers, voldoenings- en tegnoloë bestaande silo's afbreek en saamwerk sodat toekomstige sagteware "vinniger, slimmer en meer samewerkend as ooit tevore" is.

Alhoewel die behandeling van voorsieningskettingsekuriteit as 'n gedeelde verantwoordelikheid noodsaaklik is om aanvalle te verminder en te beperk, dring Chris Binnie – 'n wolk-inheemse sekuriteitskonsultant van Edinburgh – daarop aan dat verskaffers moet verseker dat hulle "groter sigbaarheid in hul eie voorsieningskettings" het voordat hulle produkte aan ondernemingskliënte verskaf.

Om toekomstige voorsieningskettingaanvalle te verminder, sê Diane Downie – 'n senior sagteware-argitek by toepassingsekuriteitspesialiste Black Duck – dat organisasies "beste praktyke moet vestig, altyd volg en voortdurend verbeter". Die gebruik van zero-trust-argitektuur 'n belangrike beste praktyk kan ook help, stel Hannah van Object First voor, deur te beperk "hoe ver 'n aanvaller binne 'n omgewing kan beweeg".

Dit is billik om te sê dat voorsieningskettingaanvalle 'n groot hoofpyn geword het vir beide ondernemings en hul verskaffers. Maar dit hoef nie so moeilik te wees om te versag, op te spoor en te beperk nie; besighede en verskaffers moet bloot 'n gesamentlike poging aanwend om voorsieningskettingsekuriteit as 'n deurlopende gedeelde verantwoordelikheid te beskou. In die praktyk beteken dit dat duidelike planne, prosesse en verantwoordelikhede in plek is om aanvallers op 'n afstand te hou.

Natuurlik, selfs met die beste voorsorgmaatreëls in plek, sal daar steeds gevalle wees waar aanvallers daarin slaag om voorsieningskettings te oortree. Dit is waar gekoördineerde voorvalreaksie noodsaaklik is. En natuurlik moet besighede en hul vennote deursigtig wees met kliënte oor wat gebeur het om hulle aan hul kant te hou.