
آخرین تحقیقات شورای امنیت بین المللی Neustar (NISC)، گروهی از افراد امنیت سایبری در صنایع کلیدی، سازمانهای دولتی و شرکتها، نگرانیهای فزایندهای در مورد ریسک زنجیره تامین و کاهش اعتماد در شیوههای امنیتی شرکای ارائهدهنده نرمافزار و خدمات خود پیدا کردند – حتی اگر بیشتر به آنها متکی باشند. . مارک رو با مایکل اسمیت، مدیر ارشد فناوری در شرکت سایبری صحبت می کند خدمات امنیتی Neustar، در تصویر، در مورد این خطر زنجیره تامین با کاهش اعتماد شریک و اینکه چگونه سازمان ها باید با توجه به چشم انداز تهدید مراقب باشند.
تامین کنندگان (و شرکا) چقدر تهدید بزرگی هستند؟
این بیماری همه گیر باعث تغییر لرزه ای در بازار امنیت سایبری شده است و چشم انداز تهدید به طور قابل توجهی تکامل یافته است. جدیدترین یافتههای NISC نشان میدهد که اعتماد شریک در حال کاهش است و بسیاری از سازمانها گزارش میدهند که در حال حاضر از طریق نرمافزار یا ارائهدهندگان خدمات احساس میکنند در معرض خطر قرار دارند. با حملاتی مانند حمله Sunburst به SolarWinds در سال 2020، به سرعت مشخص شد که زنجیره تامین در حال حاضر بخشی از سطح حمله هر شرکتی است – این راه و وسیله ای برای فرار از دفاع امنیتی شرکت شما ارائه می دهد.
همه چیز به این بستگی دارد که تامین کنندگان چه دسترسی به سیستم های شما دارند، چه داده هایی را با آنها به اشتراک می گذارید، و چه چیزی را در شبکه شما نصب می کنند. عوامل تهدید به دنبال دسترسی به دادههای اصلی در داخل سیستمها و شبکههای خود هستند، در نهایت برای یافتن حفرهای که به آنها امکان دسترسی به سایر تامینکنندگان و شبکهها و سیستمهای شریک را میدهد – که میتواند فاجعهبار باشد.
این موضوع به ویژه زمانی نگرانکننده است که تامینکنندگان مهمی را در بر میگیرد که مشتریان اغلب جایگزینی ندارند. اگر آنها غیرقابل اعتماد شوند، شرکا باید یک برنامه پشتیبان ایجاد کنند. در نهایت، وقتی میدانید که یک تغییر در اینجا، عملیات کسبوکار شما را به هم میزند، چه کاری میخواهید انجام دهید؟
برای شرکت ها ضروری است که تامین کنندگان خود را به صورت قراردادی مسئول نگه دارند تا استانداردهای امنیتی را حداقل به اندازه استانداردهایی که شرکت رعایت می کند، حفظ کنند. شرکتها باید یک پرسشنامه استاندارد جمعآوری اطلاعات (SIG) داشته باشند که در قراردادهای خود با تامینکنندگان شخص ثالث گنجانده شود.»
چگونه متوجه می شوید که تامین کنندگان (و شرکای شما) مشکل دارند؟
“این منطقه ای است که نیاز به بهبود زیادی دارد. برخی از شرکتها هستند که بر اساس دادههای فنی خارجی مانند اعتبار IP و اسکنهای آسیبپذیری به انجام بررسیهای لازم کمک میکنند، اما بر اساس گزارشهای مطبوعاتی نیز بر فروشندگان نظارت میکنند. این فرآیند از بسیاری جهات بسیار مبهم است، زیرا شما اساساً سعی میکنید پیشبینی کنید که کدام یک از تامینکنندگان شما بیشتر با یک حادثه امنیتی مواجه میشوند، و این کار را بدون هیچ داده داخلی انجام میدهید.
بیتوجهی تأمینکننده یا شرکا میتواند خطر بزرگی برای شرکت شما ایجاد کند، بهویژه اگر به درستی بررسی نشده باشند. کسب و کارها باید بتوانند اطمینان داشته باشند که آنچه به آنها ارائه می شود مطابق با مشخصات عمل می کند و آسیب پذیری های جدیدی در محیط آنها ایجاد نمی کند.
وضعیت امنیتی شریک را چگونه ارزیابی می کنید؟ این چه محدودیتی دارد؟
بررسی دقیق امنیت سایبری در حال تبدیل شدن به یکی از اجزای حیاتی فرآیند بررسی فروشنده و شریک است، به خصوص که حملات میتوانند منجر به هزینههای تعمیر بیشتر و اختلال در کسبوکار برای سازمانهایی شوند که چندین مرحله پاییندست از هدف اصلی قرار دارند.
شرکتها اکنون شروع به درک میکنند که نه تنها نیاز به بهینهسازی تدابیر امنیتی خود دارند، در حالت ایدهآل با اتخاذ یک استراتژی پیشگیرانه امنیتی بر اساس طراحی، که شامل رویکرد «همیشه فعال» به امنیت سایبری است، بلکه سرمایهگذاری بیشتر در حسابرسی زنجیره تأمین خوب. در حالی که دیجیتالی کردن مزایای تجاری غیرقابل انکاری را به همراه دارد، شایان ذکر است که یک سازمان تنها به اندازه کمترین امنیت شریک در زنجیره تامین خود ایمن است.
بهترین روش این است که شرکای بالقوه خود را قبل از انتخاب آنها به دقت بررسی کنید، از جمله داشتن درک درستی از شهرت آنها در بازار و اقداماتی که آنها با زنجیره تامین خود انجام می دهند. گام بعدی این است که الزامات امنیتی را بخشی از تعهدات قراردادی خود قرار دهید که به طور ایده آل به شما حقوق ممیزی برای بازرسی دوره ای کنترل های آنها می دهد. همانطور که گفته شد، تیم های امنیتی داخلی باید به طور فعال اسکن آسیب پذیری را در تمام سیستم ها و زیرسیستم ها تا حد امکان انجام دهند تا خطرات غیرضروری را به حداقل برسانند.
شرکا برای مبارزه با برخی از چالشهای تجاری پیچیدهتر کلیدی هستند، بنابراین سازمانها باید هوشیار باشند. این صنعت مسئولیت جمعی برای پاسخگویی به نیازهای مشتریان دارد و همانطور که بیماری همه گیر ثابت کرده است، چشم انداز تهدیدات سایبری دائماً در حال تحول را پیش بینی می کند. تنها در این صورت است که میتوانیم به برخی از مهمترین چالشهای امنیت سایبری زمان خود پاسخ دهیم.»
درباره مایکل اسمیت
او مدیر ارشد فناوری Neustar Field است و مسئول استراتژی محصولات و خدمات سازمان از جمله مدیریت محصول، عملیات امنیتی و پشتیبانی مشتری است. او با بیش از 30 سال تجربه در زمینه امنیت سایبری، فناوری اطلاعات و اطلاعات، حوادث مهمی مانند موج حملات DDoS علیه بانکهای بزرگ ایالات متحده در سالهای 2012 و 2013 و حملات باندهای تصاحب حسابهای تجارت الکترونیک و همچنین مدیریت کرده است. نظارت امنیتی برای رویدادهای آنلاین بزرگ مانند المپیک و جام جهانی. او ابتدا به عنوان مترجم روسی در ارتش ایالات متحده شروع به کار کرد، قبل از خدمت در مهندسی، مدیریت امنیت اطلاعات، مدیریت حوادث و نقش های CTO در Akamai، Deloitte، Unisys و چندین استارت آپ.
منبع: https://www.professionalsecurity.co.uk/news/interviews/qa-supply-chain-risk-as-partner-confidence-wanes/