Решение проблемы растущей угрозы кибератак в цепочках поставок

Решение проблемы растущей угрозы кибератак в цепочках поставок

21 декабря 2023 г.

Кибератаки на цепочки поставок растут. Эти атаки проникают в сеть компании через доверенного стороннего поставщика, который был взломан. Поскольку все больше компаний переходят на аутсорсинг услуг и внедряют облачные решения, потенциальные точки входа для злоумышленников расширились.

Недавние примеры, такие как знаменитая атака на цепочку поставок SolarWinds Orion, демонстрируют, как компрометация одного поставщика может иметь огромные последствия для последующих цепочек поставок. Проникнув в среду разработки программного обеспечения SolarWinds, злоумышленники внедрили вредоносный код в обновления Orion, которые после установки предоставили доступ тысячам организаций государственного и частного сектора.

Учитывая такие потенциально катастрофические последствия, безопасность цепочки поставок теперь является как кибер-приоритетом, так и бизнес-приоритетом.

Проблемы оценки сторонних киберрисков

Расширение цепочек поставок увеличивает зависимость от третьих сторон, что расширяет потенциальную поверхность атаки. Хотя организации вкладывают значительные средства в защиту своих собственных систем, сети поставщиков и партнеров могут иметь более слабую защиту. Тем не менее, оценка уровня безопасности поставщиков при ограниченном доступе к их мерам безопасности является чрезвычайно сложной задачей и в основном основана на доверии к заявленной поставщиками надежности уровня безопасности.

Например, у поставщика технологий могут быть тысячи клиентов, запрашивающих оценки безопасности или аудиторскую информацию, что затрудняет их способность отвечать на все эти запросы конкретными вопросами, что может привести к сокращению процесса. Поставщики также могут избегать раскрытия подробностей об уязвимостях или инцидентах, чтобы предотвратить контрактные риски или потерю доходов.

Модель общей ответственности за облачную безопасность

Дополнительно к проблемам оценки добавляется то, что модель облачной безопасности с общей ответственностью еще больше запутывает проблемы и ограничивает прозрачность.

Модель общей ответственности за облачную безопасность — это структура, которая определяет роли и обязанности поставщиков облачных услуг (CSP) и их клиентов в обеспечении облачной безопасности. Эта модель имеет основополагающее значение для облачных вычислений, гарантируя, что обе стороны понимают свои обязательства по защите данных, приложений и инфраструктуры в облачной среде.

В этой модели обязанности обычно распределяются следующим образом:

Обязанности поставщика облачных услуг

  • Безопасность инфраструктуры. CSP отвечает за безопасность базовой инфраструктуры, поддерживающей облачные сервисы. Сюда входит физическая безопасность центров обработки данных, сетевая и аппаратная безопасность, а также уровень виртуализации.
  • Обслуживание платформы и программного обеспечения. Для моделей «Платформа как услуга» (PaaS) и «Программное обеспечение как услуга» (SaaS) поставщик также управляет безопасностью платформы или прикладного программного обеспечения, включая обновления и исправления. .

Обязанности клиента

  • Безопасность данных. Клиенты несут ответственность за защиту конфиденциальности, целостности и доступности своих данных, хранящихся в облаке. Это включает в себя шифрование, контроль доступа и стратегии резервного копирования данных.
  • Безопасность приложений. В случае инфраструктуры как услуги (IaaS) и PaaS клиенты должны защищать приложения, которые они развертывают в облаке. Это включает в себя обеспечение отсутствия уязвимостей в приложениях и их безопасную настройку.
  • Управление идентификацией и доступом. Клиенты должны управлять доступом пользователей к облачным сервисам, включая аутентификацию, авторизацию и мониторинг действий пользователей.
  • Конфигурация операционной системы и сети. В моделях IaaS клиенты несут ответственность за безопасность операционной системы и сетевых конфигураций своих облачных серверов.

Модель общей ответственности подчеркивает, что, хотя поставщики услуг связи должны обеспечивать безопасность облачной инфраструктуры, клиенты несут ответственность за безопасность своих данных и приложений в облаке. Такое разделение ответственности имеет решающее значение для обеспечения эффективной облачной безопасности и требует от клиентов активного понимания и реализации своей части модели.

Интеграция кибербезопасности в процессы цепочки поставок

Современные цепочки поставок выходят далеко за рамки физических потоков продукции. Компании теперь регулярно передают основные бизнес-функции поставщикам ИТ-услуг, поставщикам программного обеспечения и другим сторонним партнерам, которые обрабатывают конфиденциальные системы и данные. Хотя эти элементы цифровой цепочки поставок обеспечивают инновации и эффективность, они также создают значительные риски кибербезопасности, которые нельзя игнорировать.

Эффективное управление безопасностью взаимосвязанных поставщиков требует устранения исторической разрозненности между функциями закупок и кибербезопасности. Используя знания в области кибербезопасности в процессах закупок и надзора за поставщиками, организации могут с самого начала внедрить безопасность в отношения в цепочке поставок.

Признайте, что цепочки поставок теперь включают в себя не только физические потоки, но и ИТ-системы, программное обеспечение и поставщиков услуг. Такое расширение означает, что в цепочках поставок появились важные цифровые компоненты, требующие мер кибербезопасности.

Обеспечить сотрудничество между отделами закупок и кибербезопасности. Для эффективной интеграции безопасности требуется, чтобы эти группы работали в тесном сотрудничестве, гарантируя, что решения о закупках учитывают информацию о киберрисках.

Позволить кибербезопасности определять требования к закупкам и стандарты технических поставщиков. Соображения безопасности должны определять выбор при покупке, и поставщики должны соответствовать стандартам.

Включите киберриски и аудит соответствия в процессы выбора поставщиков. При выборе поставщиков оцените их профиль рисков и открытость для проверок.

Обязательство соблюдать соглашения об уровне обслуживания и уведомлять о нарушениях в контрактах с поставщиками. В соглашениях должны быть определены уровни служб безопасности и процедуры сообщения об инцидентах.

Использовать автоматизированные инструменты для систематизации оценок безопасности. Автоматизация оценок повышает эффективность и согласованность.

Интеграция этих элементов в процесс выбора и мониторинга цепочки поставок способствует совмещению кибербезопасности и управления рисками в цепочке поставок, а также может привести к значительному улучшению надзора за безопасностью поставщиков.

Схема цепочки поставок MITRE для оценки рисков

Корпорация MITRE разработала новый прототип системы, специально предназначенный для улучшения управления рисками в цепочке поставок. Система доверия цепочки поставок MITRE (SoT) призвана предоставить организациям стандартизированную методологию оценки рисков в 14 ключевых областях принятия решений, охватывающих их деятельность по приобретению.

В структуру включено более 200 категорий субрисков, оценка которых осуществляется путем ответа примерно на 2200 определенных вопросов. Хотя значительная часть связана с факторами комплексной проверки нецифровых поставщиков, SoT также подробно охватывает риски цепочки поставок программного обеспечения.

Центральное место в оценке цепочки поставок программного обеспечения SoT занимает анализ спецификации программного обеспечения (SBOM). SBOM обеспечивают наглядность компонентов поставляемого программного обеспечения. Понимая зависимости третьих сторон, организации могут лучше отслеживать уязвимости и принимать обоснованные решения о рисках.

Несмотря на свою эффективность, MITRE признает, что оценки, ориентированные на SBOM, также имеют ограничения. Сами по себе SBOM не могут обнаружить все нарушения в цепочке поставок или гарантировать немедленное раскрытие информации поставщиками. Дополнительные методы обеспечения безопасности, связанные с проверкой состояния безопасности поставщиков, усилят гарантии добросовестности.

Формализуя повторяемую методологию оценки, структура SoT цепочки поставок MITRE стремится обеспечить согласованность в том, как организации измеряют и контролируют риски цепочки поставок. По мере продолжения разработки прототипа также ожидаются дальнейшие настройки для обеспечения устойчивости к рискам организации.

Поскольку цепочки поставок становятся все более цифровыми и взаимосвязанными, тесное вплетение кибербезопасности во все аспекты управления цепочками поставок теперь становится стратегическим императивом. Внедрение таких инфраструктур, как Система доверия цепочки поставок MITRE, а также активный подход к выбору поставщиков и сотрудничество между отделами закупок и кибербезопасности могут упреждающе снизить подверженность атакам в цепочке поставок.


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE