Bezpieczeństwo łańcucha dostaw wymaga systematycznego podejścia


Ponieważ organizacje zwiększyły swoje własne bezpieczeństwo cybernetyczne w ciągu ostatnich pięciu do dziesięciu lat, nastąpił wzrost pośrednio ataki za pośrednictwem łańcucha dostaw. Jednocześnie nastąpił wzrost ilości oprogramowania ransomware oraz pojawienie się ukierunkowanego oprogramowania ransomware powiązanego z kradzieżą danych i wyłudzeniami.

W pewnym stopniu dzieje się tak dlatego, że małe i średnie przedsiębiorstwa (MŚP) w łańcuchu dostaw są postrzegane jako łatwiejsza droga do przedsiębiorstwa niż bezpośredni atak. Jednak wyrafinowane ataki w łańcuchu dostaw przez większe firmy również widziano.

Wzrost w ransomware jest realnym zagrożeniem, szczególnie tam, gdzie jest dostawca z jednego źródła. Oprogramowanie ransomware stało się bardziej wyrafinowane, czasami infekując kopie zapasowe, a także technologię operacyjną (OT), więc firmy mogą nie być w stanie produkować i dostarczać swoich produktów przez trzy miesiące lub dłużej po ataku.

Dlatego ważne jest, abyśmy mogli mieć zaufanie do bezpieczeństwa firm w naszych łańcuchach dostaw, aby wykryć i zareagować na atak, a następnie szybko wrócić do zdrowia.

W miarę jak zbliżamy się bardziej do kontraktów cyfrowych i integracji z dostawcami, rośnie możliwość przeprowadzenia ataku w łańcuchu dostaw, najpierw poprzez narażenie dostawcy, a następnie poprzez wejście do organizacji klienta przez portal zakupowy lub inną wspólną usługę. Musimy również zdawać sobie sprawę z narażenia na zagrożony sprzęt lub oprogramowanie, które może być przeznaczone dla naszych własnych systemów wewnętrznych lub integracji z produktami lub rozwiązaniami dla naszych własnych klientów.

Przykładem sprzed kilku lat był atak na firmę, która stworzyła narzędzie do tworzenia stron internetowych, wykorzystywane przez kilka innych firm do tworzenia stron internetowych dla swoich klientów. W rezultacie atak na twórcę narzędzia dotknął wielu twórców witryn i umieścił backdoory w jeszcze większej liczbie witryn swoich klientów.

Reklama

Ryzyko związane z łańcuchem dostaw będzie się różnić w zależności od organizacji i od dostawcy do dostawcy, więc pierwszym krokiem jest ocena ryzyka łańcucha dostaw i jego wpływu. Należy wziąć pod uwagę trzy główne obszary: wtargnięcie dostawcy lub usługodawcy do systemów; atak polegający na umieszczaniu złośliwego oprogramowania w produkcie dostawcy; lub atak ransomware na dostawcę z jednego źródła, uniemożliwiający dostęp do tego produktu. Oznacza to zapewnienie, że dostawcy sami siebie chronią, a Twoje systemy są chronione przed dostawcami.

Upewniając się, że dostawcy odpowiednio zajmują się własnym bezpieczeństwem cybernetycznym, ważne jest, aby nie być nakazowym ani nie udzielać porad na temat środków, które powinni podjąć, ponieważ jeśli zastosują się do twoich rad, a następnie zostaniesz narażony na atak łańcucha dostaw przez tego dostawcę, nie mógł być pociągnięty do odpowiedzialności.

Dlatego podejście powinno polegać na wymaganiu, aby ich systemy były certyfikowane zgodnie z normami, takimi jak: ISO 27001 lub Cyber ​​​​Podstawy Plus. Dostawcy powinni również podlegać regularnym audytom, a najlepiej byłoby, gdyby przeprowadzali regularne testy bezpieczeństwa swoich systemów. Istnieje wiele dobrych wskazówek na ten temat, w szczególności od Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC).

Dostawcy mogą również mieć dostęp do systemów swoich klientów. Może to być ograniczone do wymagań technicznych poprzez systemy zakupów i bezpośrednie składanie ofert lub może to być świadczenie usług konserwacji urządzeń produkcyjnych lub usług monitorowania bezpieczeństwa. W każdym razie będą mieli dostęp do sprzętu działającego w ramach systemów IT i/lub OT swoich klientów. Tutaj ważne względy to:

  • Ogranicz dostęp do ograniczonej liczby pracowników dostawców.
  • Zezwalaj tylko na dostęp do wirtualnej sieci prywatnej (VPN) z systemów dostawców przy użyciu uwierzytelniania dwuskładnikowego.
  • Ograniczyć ich dostęp tylko do tych systemów i zasobów, do których muszą mieć dostęp, aby spełnić wymagania umowne.
  • Ogranicz uprawnienia do minimum niezbędnego do wykonania zadania.

W przypadku sprzętu i oprogramowania, które mają być używane we własnych systemach informatycznych lub zintegrowane z dostarczanymi produktami i usługami, należy wziąć pod uwagę pewne dodatkowe wymagania dotyczące dostawców i ewentualnie w celu testowania otrzymanych od nich produktów. Główne obszary są wokół bezpieczeństwo rozwoju i ostateczne środowisko tworzenia oprogramowania.

Pierwszym krokiem jest użycie narzędzia do konfiguracji kodu oprogramowania, skonfigurowanego tak, aby ograniczyć liczbę osób, które mogą zaewidencjonować kod i tworzyć kompilacje. Jednak najbardziej wrażliwym punktem w procesie jest kompilacja ostatecznej aplikacji, ponieważ złośliwe zmiany tutaj nie mogą być łatwo wykryte.

Dlatego należy używać oddzielnego środowiska kompilacji z ograniczonym dostępem do personelu konstruktora i najlepiej odizolowanego od bezpośredniego dostępu do Internetu. Cały kod powinien być podpisany podczas procesu budowania, a podpisy sprawdzane podczas wykonywania. Chociaż musi tak być w przypadku systemu Windows, nie zawsze tak jest w przypadku aplikacji wbudowanych i niektórych innych aplikacji. Wszystkie aktualizacje i poprawki oprogramowania powinny być również podpisane, aby zapobiec zastępowaniu w tranzycie.

Integrując oprogramowanie lub aktualizacje oprogramowania otrzymane od dostawcy z systemem, zazwyczaj jest ono weryfikowane na stanowisku testowym systemu przed załadowaniem do systemu operacyjnego. W szczególnie krytycznych systemach można by rozważyć użycie różnych sygnatur dla nieprzetestowanego oprogramowania i końcowego oprogramowania operacyjnego, skutecznie ponownie stosując sygnaturę przy użyciu innego certyfikatu podpisującego „zapewnienie jakości” po teście systemu. Zapewni to, że nieprzetestowane oprogramowanie nie będzie mogło być używane w systemie operacyjnym.

Podsumowując, nie jest to prosty proces, szczególnie w przypadku dużych organizacji z głębokimi i szerokimi łańcuchami dostaw, ale jest to ryzyko, którym należy się zająć. Środki muszą być systematyczne i oceniane, aby zminimalizować złożoność i koszty dla firmy. Nie zawsze będzie to też kwestia techniczna. Złagodzenie ataku ransomware na dostawcę z jednego źródła można osiągnąć poprzez utrzymywanie kilkumiesięcznych zapasów ich produktu lub dywersyfikację łańcucha dostaw w celu włączenia drugiego źródła. Jest to jednak coś, co wszystkie organizacje muszą rozważyć i przejąć kontrolę.



Source link

Advertisment

Więcej

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

Advertisment

Podobne

Advertisment

Najnowsze

YMTC twierdzi, że 3D QLC NAND oferuje wytrzymałość porównywalną z 3D TLC NAND

Jak podaje ITHome, firma twierdzi, że chipy flash YMTC X3-6070 3D QLC NAND oferują wytrzymałość porównywalną z chipami flash 3D TLC NAND oferowanych...

Praktyczne: jak korzystać z SharePlay w CarPlay z Apple Music

Jedna z dużych zmian w iOS 17 dla CarPlay użytkowników jest dodanie obsługi SharePlay dla Apple Music. Dzięki tej funkcji każda osoba...

Rozdanie TechPowerUp-Arctic: nie przegap szansy na wygranie kombinacji Coolers+Fan+TIM

Jeśli przegapiłeś, rozdanie TechPowerUp x Arctic trwa od 22 marca. Aż sześciu szczęśliwych zwycięzców może otrzymać kombinacje chłodnic procesora Arctic, wentylatorów obudowych i...
Advertisment