پرسش و پاسخ: ریسک زنجیره تامین با کاهش اعتماد شریک

آخرین تحقیقات شورای امنیت بین المللی Neustar (NISC)، گروهی از افراد امنیت سایبری در صنایع کلیدی، سازمان‌های دولتی و شرکت‌ها، نگرانی‌های فزاینده‌ای در مورد ریسک زنجیره تامین و کاهش اعتماد در شیوه‌های امنیتی شرکای ارائه‌دهنده نرم‌افزار و خدمات خود پیدا کردند – حتی اگر بیشتر به آنها متکی باشند. . مارک رو با مایکل اسمیت، مدیر ارشد فناوری در شرکت سایبری صحبت می کند خدمات امنیتی Neustar، در تصویر، در مورد این خطر زنجیره تامین با کاهش اعتماد شریک و اینکه چگونه سازمان ها باید با توجه به چشم انداز تهدید مراقب باشند.

تامین کنندگان (و شرکا) چقدر تهدید بزرگی هستند؟

این بیماری همه گیر باعث تغییر لرزه ای در بازار امنیت سایبری شده است و چشم انداز تهدید به طور قابل توجهی تکامل یافته است. جدیدترین یافته‌های NISC نشان می‌دهد که اعتماد شریک در حال کاهش است و بسیاری از سازمان‌ها گزارش می‌دهند که در حال حاضر از طریق نرم‌افزار یا ارائه‌دهندگان خدمات احساس می‌کنند در معرض خطر قرار دارند. با حملاتی مانند حمله Sunburst به SolarWinds در سال 2020، به سرعت مشخص شد که زنجیره تامین در حال حاضر بخشی از سطح حمله هر شرکتی است – این راه و وسیله ای برای فرار از دفاع امنیتی شرکت شما ارائه می دهد.

همه چیز به این بستگی دارد که تامین کنندگان چه دسترسی به سیستم های شما دارند، چه داده هایی را با آنها به اشتراک می گذارید، و چه چیزی را در شبکه شما نصب می کنند. عوامل تهدید به دنبال دسترسی به داده‌های اصلی در داخل سیستم‌ها و شبکه‌های خود هستند، در نهایت برای یافتن حفره‌ای که به آنها امکان دسترسی به سایر تامین‌کنندگان و شبکه‌ها و سیستم‌های شریک را می‌دهد – که می‌تواند فاجعه‌بار باشد.

این موضوع به ویژه زمانی نگران‌کننده است که تامین‌کنندگان مهمی را در بر می‌گیرد که مشتریان اغلب جایگزینی ندارند. اگر آنها غیرقابل اعتماد شوند، شرکا باید یک برنامه پشتیبان ایجاد کنند. در نهایت، وقتی می‌دانید که یک تغییر در اینجا، عملیات کسب‌وکار شما را به هم می‌زند، چه کاری می‌خواهید انجام دهید؟

برای شرکت ها ضروری است که تامین کنندگان خود را به صورت قراردادی مسئول نگه دارند تا استانداردهای امنیتی را حداقل به اندازه استانداردهایی که شرکت رعایت می کند، حفظ کنند. شرکت‌ها باید یک پرسشنامه استاندارد جمع‌آوری اطلاعات (SIG) داشته باشند که در قراردادهای خود با تامین‌کنندگان شخص ثالث گنجانده شود.»

چگونه متوجه می شوید که تامین کنندگان (و شرکای شما) مشکل دارند؟

“این منطقه ای است که نیاز به بهبود زیادی دارد. برخی از شرکت‌ها هستند که بر اساس داده‌های فنی خارجی مانند اعتبار IP و اسکن‌های آسیب‌پذیری به انجام بررسی‌های لازم کمک می‌کنند، اما بر اساس گزارش‌های مطبوعاتی نیز بر فروشندگان نظارت می‌کنند. این فرآیند از بسیاری جهات بسیار مبهم است، زیرا شما اساساً سعی می‌کنید پیش‌بینی کنید که کدام یک از تامین‌کنندگان شما بیشتر با یک حادثه امنیتی مواجه می‌شوند، و این کار را بدون هیچ داده داخلی انجام می‌دهید.

بی‌توجهی تأمین‌کننده یا شرکا می‌تواند خطر بزرگی برای شرکت شما ایجاد کند، به‌ویژه اگر به درستی بررسی نشده باشند. کسب و کارها باید بتوانند اطمینان داشته باشند که آنچه به آنها ارائه می شود مطابق با مشخصات عمل می کند و آسیب پذیری های جدیدی در محیط آنها ایجاد نمی کند.

وضعیت امنیتی شریک را چگونه ارزیابی می کنید؟ این چه محدودیتی دارد؟

بررسی دقیق امنیت سایبری در حال تبدیل شدن به یکی از اجزای حیاتی فرآیند بررسی فروشنده و شریک است، به خصوص که حملات می‌توانند منجر به هزینه‌های تعمیر بیشتر و اختلال در کسب‌وکار برای سازمان‌هایی شوند که چندین مرحله پایین‌دست از هدف اصلی قرار دارند.

شرکت‌ها اکنون شروع به درک می‌کنند که نه تنها نیاز به بهینه‌سازی تدابیر امنیتی خود دارند، در حالت ایده‌آل با اتخاذ یک استراتژی پیشگیرانه امنیتی بر اساس طراحی، که شامل رویکرد «همیشه فعال» به امنیت سایبری است، بلکه سرمایه‌گذاری بیشتر در حسابرسی زنجیره تأمین خوب. در حالی که دیجیتالی کردن مزایای تجاری غیرقابل انکاری را به همراه دارد، شایان ذکر است که یک سازمان تنها به اندازه کمترین امنیت شریک در زنجیره تامین خود ایمن است.

بهترین روش این است که شرکای بالقوه خود را قبل از انتخاب آنها به دقت بررسی کنید، از جمله داشتن درک درستی از شهرت آنها در بازار و اقداماتی که آنها با زنجیره تامین خود انجام می دهند. گام بعدی این است که الزامات امنیتی را بخشی از تعهدات قراردادی خود قرار دهید که به طور ایده آل به شما حقوق ممیزی برای بازرسی دوره ای کنترل های آنها می دهد. همانطور که گفته شد، تیم های امنیتی داخلی باید به طور فعال اسکن آسیب پذیری را در تمام سیستم ها و زیرسیستم ها تا حد امکان انجام دهند تا خطرات غیرضروری را به حداقل برسانند.

شرکا برای مبارزه با برخی از چالش‌های تجاری پیچیده‌تر کلیدی هستند، بنابراین سازمان‌ها باید هوشیار باشند. این صنعت مسئولیت جمعی برای پاسخگویی به نیازهای مشتریان دارد و همانطور که بیماری همه گیر ثابت کرده است، چشم انداز تهدیدات سایبری دائماً در حال تحول را پیش بینی می کند. تنها در این صورت است که می‌توانیم به برخی از مهم‌ترین چالش‌های امنیت سایبری زمان خود پاسخ دهیم.»

درباره مایکل اسمیت

او مدیر ارشد فناوری Neustar Field است و مسئول استراتژی محصولات و خدمات سازمان از جمله مدیریت محصول، عملیات امنیتی و پشتیبانی مشتری است. او با بیش از 30 سال تجربه در زمینه امنیت سایبری، فناوری اطلاعات و اطلاعات، حوادث مهمی مانند موج حملات DDoS علیه بانک‌های بزرگ ایالات متحده در سال‌های 2012 و 2013 و حملات باندهای تصاحب حساب‌های تجارت الکترونیک و همچنین مدیریت کرده است. نظارت امنیتی برای رویدادهای آنلاین بزرگ مانند المپیک و جام جهانی. او ابتدا به عنوان مترجم روسی در ارتش ایالات متحده شروع به کار کرد، قبل از خدمت در مهندسی، مدیریت امنیت اطلاعات، مدیریت حوادث و نقش های CTO در Akamai، Deloitte، Unisys و چندین استارت آپ.