מ-RSA ל-SolarWinds: לקחים שנלמדו מעשור של הפרות בשרשרת האספקה

במהלך העשור האחרון, התקפות שרשרת האספקה ​​הפכו לאחד הגורמים המובילים להפרות. חיבורים לרשת מביאים לנקודות תורפה שניתנות לניצול ולסיכון מוגבר לאירועי אבטחה. דן רייווד בוחן מדוע שרשרת האספקה ​​נותרה בעיה כל כך מאתגרת עבור ארגונים ומציע כמה פתרונות.

הבנת האתגר

ברור לראות את המציאות של התקפות שרשרת האספקה: מתוך מתקפה על RSA עוד ב-2011, שם הייתה כוונה להיכנס ללוקהיד מרטין, לתקרית כעבור עשר שנים, שבו שחקני איומים ניצלו תוכנה או אישורים של לפחות שלוש חברות - בעיקר תוכנת Orion של Solarwinds - כדי לפגוע בממשלת ארה"ב.

מה שאנחנו יודעים על התקפות שרשרת האספקה ​​הוא כנראה נתיב שדרס היטב: תוקפים מנצלים פגיעות בישות אחת כדי להשיג נתיב לעסק אחר ולעיתים גדול יותר כדי להשיג פריצה, לשהות בסביבה או משהו מרושע.

התקפת שרשרת אספקה ​​נראית קשה מאוד למניעה מכיוון שהיא כרוכה בשרשרת של אירועים, ומגן יצטרך לנקוט באמצעי זהירות רציניים כדי לדעת מי קשור אליו ואילו תקריות הוא חווה.

זיהוי הסיכון

מחקר אחרון מ-BlackBerry מצא כי 74% מהמתקפות מקורן מחברי שרשרת אספקת התוכנה שחברות לא היו מודעות או לא פיקחו עליהן לפני הפרצה.

כיצד תוכל להיות בטוח שהגופים המתחברים לעסק שלך מאובטחים ומקפידים על אותה רמת תאימות כמו העסק שלך? ריצ'רד סטארנס, CISO מקבוצת Six Degrees, אומר שזה אפשרי אם אתה משתמש בחוזה זרימה למטה, המחייב כל חברה שאתה עובד איתה לעקוב אחר ההובלה שלך ויכולה להתגלגל לספקים אחרים.

"יש לך דרישה ללקוח שמתאר מפרטים שצריך לעמוד בהם, ואם הם לא יכולים לעמוד במפרטים האלה, אז אני לא יכול להשתמש בהם", אומר סטארנס.

חיזוק החוליה החלשה ביותר

סטארנס אומר שאחת הבעיות העיקריות המאפשרות התקפות שרשרת האספקה ​​היא מעורבותם של ארגונים קטנים ובינוניים, שכן ארגונים גדולים יותר היו מורכבים יותר לכניסה, וזמן השהייה אינו מה שהיה פעם - מנדיאנט של 2024 דוח M Trends ציין כי זמן השהייה ירד מ-16 ימים לעשרה מ-2022 ל-2023.

איאן ת'ורנטון-טראמפ, CISO של Cyjax, אומר שהלקחים שנלמדו מהתקפות שרשרת האספקה ​​מראים שצריכה להיות הבנה טובה יותר של ההשלכות של כשלי האבטחה של הלקוחות והספקים שלך". מה שאתה יכול לעשות זה לפקח עליהם ואחרי תנוחת האבטחה שלהם ודרישות תאימות האבטחה שלהם, וכאשר יש להם פרצת אבטחה, הם מודיעים לך קודם", הוא אומר.

"זה לא קשור למערכת יחסים יריבות, כי אתה לא מנסה לתפוס אותם, אבל זה נותן לך הזדמנות לעשות שינויים במקום לעבור לעמדה הגנתית."

זה עובר לנושא של בירור בנושאי אבטחה באמצעות התקשורת במקום לקבל מידע ישיר על ידי הקורבן, מה שמאפשר לך לבצע תגובה ומעקב אחר אירועים.

בניית מערכת אקולוגית מבוססת אמון

מחקר בלקברי מצא כי 65% מהחברות מודיעות ללקוחותיהן על תקריות, כאשר 51% מודאגים מההשפעה השלילית על המוניטין של החברה.

תורנטון-טראמפ אומרת שהדרך היחידה 'לסמוך אבל לאמת' היא אם יש שקיפות מכל הצדדים, מה שמאפשר לך לעשות הכנות למקרה שתתרחש פריצה ואתה יודע איך להגיב.

צעדים נכונים

מהם הצעדים הנכונים כדי להבטיח שאתה מוצא את כל הפערים שתוקף יכול לפגוע בך, כולל עסקים מקצועיים - ואולי אפילו עומדים בדרישות -? הַדְרָכָה ממרכז אבטחת הסייבר הלאומי של בריטניה בנושא אבטחת שרשרת האספקה ​​ממליץ על שורה של עקרונות, הכוללים לדעת מי הם הספקים שלך, בניית הבנה כיצד נראית האבטחה שלהם וגיבוש תוכנית פעולה.

המלצות אלו דורשות גם הסתמכות רבה על סידורי האבטחה של הספקים שלך. זה יכול לכלול דרישה של "ספקים פוטנציאליים לספק הוכחות לגישתם לאבטחה וליכולתם לעמוד בדרישות האבטחה המינימליות שהגדרת בשלבים שונים של תחרות החוזה" והסבר הרציונל לדרישות אלו לספקים שלך כדי שיבינו מה נדרש.

מינוף מסגרות ותקנים מבוססים

שמירה על תאימות ל-ISO 27001 יכולה לעזור להבטיח שהספקים שלך יהיו באותה רמה כמוך. זה יכול לאפשר לך לבדוק טוב יותר את הספקים שלך ולהתעקש על רמת התאימות שלהם מבלי לדרוש רשימת בדיקה או שאלון.

ספקי שירותים של צד שלישי חייבים ליישם אמצעי אבטחה מתאימים אשר מנוטרים ונבדקים באופן קבוע כאשר עובדים עם עסקים המשתמשים ב-ISO 27001

תקן כמעקה בטיחות לניהול ספקים. סם פיטרס, CPO של ISMS.online מסביר, "זה מאפשר לארגונים לזהות, להעריך ולטפל בסיכוני אבטחה הקשורים לספקים חיצוניים ומאפשר לחברות להגדיר קריטריוני אבטחה מוגדרים מראש ולבצע הערכות תקופתיות, תוך הבטחת ציות ואבטחה מתמשכים".

ISO 27001 גם מחייב עסקים לשמור רשומות מקיפות של כל אינטראקציות של צד שלישי, כולל הערכות סיכונים, דרישות אבטחה שנקבעו בחוזים וניטור ביצועים שוטף.

בסופו של דבר, טוען פיטרס, "ISO 27001 מניח את היסודות לתהליכי בדיקה קפדניים של שותפים וספקים, הסכמי שותפות חזקים ותרבות של שיפור מתמיד, מה שמעניק לך רמה של רגולציה אבטחה שאמורה לתת לך ביטחון נוסף."

חיבורים שלישי ורביעי

שיקול נוסף הוא הזרימה הנוספת לחיבורי צד שלישי ורביעי. מחקר פורסם מוקדם יותר השנה מ- Security Scorecard מצא כי ל-97% מהחברות בבריטניה יש ישות נפרצה באקוסיסטם של צד שלישי.

סטארנס אמר שחברות רבות מדרגות את הספקים שלהן ויש להן תיאור של הספק שמכתיב את הציות לרגולציה שהן מציבות לאותה ישות.

"עבור ספק שכבה 1, היית משתמש בשאלון הניתן מדי שנה, בעוד שבשכבה ב', היית עושה שאלון פחות מעמיק כל שנתיים.

"עבור ספק שכבה שלוש, יש לך עוד שאלון והודעה מתי יש שינוי מהותי או אירוע, וזה כמה מהם מנוהלים".

התגברות על אתגרי משאבים

בעוד שניהול אבטחת שרשרת האספקה ​​עשוי להיות עתיר משאבים, המאמץ משתלם בטווח הארוך. למרות מחויבות הזמן, ארגון וביקורת של שרשרת האספקה ​​שלך חיוניים לשמירה על רשת מאובטחת. אוטומציה של חלקים מתהליך זה ומינוף תקני תאימות יכולים לייעל את המאמצים ולהפחית את העומס על צוותי האבטחה.

דרך קדימה

על ידי אימוץ גישת 'סמוך אך בדוק' וטיפוח שקיפות, עסקים יכולים לחזק את שרשרת האספקה ​​שלהם מפני איומים פוטנציאליים. ניטור רציף, תקשורת ברורה ועמידה בתקני תאימות הם חיוניים ליצירת שרשרת אספקה ​​עמידה ומאובטחת. בעוד שהאתגר הוא משמעותי, אסטרטגיות פרואקטיביות וחיוביות, כולל אימוץ ISMS, יכולות לעשות הבדל מהותי בהגנה מפני התקפות שרשרת האספקה.