ビジネスセキュリティ
パートナーやサプライヤーのセキュリティ体制を盲目的に信頼することは持続可能ではありません。効果的なサプライヤー リスク管理を通じてコントロールを確立する時期が来ています。
月25 2024
•
,
5分。 読んだ
世界はサプライチェーンの上に構築されています。それらは世界貿易と繁栄を促進する結合組織です。しかし、こうした重なり合い、相互に関連する企業のネットワークは、ますます複雑かつ不透明になっています。そのほとんどは、ソフトウェアとデジタル サービスの提供に関係しているか、少なくとも何らかの形でオンライン インタラクションに依存しています。そのため、混乱や侵害の危険にさらされています。
特に中小企業は、サプライ チェーンのセキュリティを管理するためのリソースを積極的に探していないか、そのためのリソースを持っていない可能性があります。でも盲目的に パートナーやサプライヤーのサイバーセキュリティ体制を信頼する 現在の気候では持続可能ではありません。確かに、サプライチェーンのリスク管理に真剣に取り組む時期は(過去に)来ています。
サプライチェーンリスクとは?
サプライチェーンのサイバーリスクはさまざまな形をとる可能性があります。 ランサムウェア データの盗難からサービス妨害 (DDoS) や詐欺まで。これらは、専門サービス会社 (弁護士、会計士など) やビジネス ソフトウェアのベンダーなどの従来のサプライヤーに影響を与える可能性があります。攻撃者はマネージド サービス プロバイダー (MSP) を狙うこともあります。これは、この方法で 1 つの企業を侵害することで、潜在的に多数の下流クライアント ビジネスにアクセスできる可能性があるためです。 昨年の調査 MSP の 90% が過去 18 か月間にサイバー攻撃を受けたことを明らかにしました。
サプライチェーンサイバー攻撃の主な種類とその発生方法を以下に示します。
- 侵害された独自ソフトウェア: サイバー犯罪者はさらに大胆になってきています。場合によっては、ソフトウェア開発者を侵害し、その後下流の顧客に配信されるコードにマルウェアを挿入する方法を見つけることができました。これは、で起こったことです Kaseya ランサムウェア キャンペーン。 最近のケースでは、一般的なファイル転送ソフトウェア MOVE侵害されました ゼロデイ脆弱性によって数百の企業ユーザーからデータが盗まれ、何百万もの顧客に影響を与えています。一方、 3CX 通信ソフトウェアの侵害 この事件は、あるサプライチェーン攻撃が別の攻撃につながるという史上初の公的文書化された事件として歴史に名を残した。
- オープンソースのサプライチェーンに対する攻撃: ほとんどの開発者は、ソフトウェア プロジェクトの市場投入までの時間を短縮するためにオープン ソース コンポーネントを使用しています。しかし、脅威アクターはこれを知っており、マルウェアをコンポーネントに挿入し、一般的なリポジトリで利用できるようにし始めています。 ある報告書は次のように主張しています このような攻撃は前年比 633% 増加しています。脅威アクターは、一部のユーザーがパッチを適用するのが遅いオープン ソース コードの脆弱性を素早く悪用します。ほぼユビキタスなツールで重大なバグが見つかったとき、これが起こった Log4jとして知られています.
- サプライヤーになりすましての詐欺: として知られる高度な攻撃 ビジネスメールの侵害 (BEC) には、顧客をだまして送金させるために、サプライヤーになりすました詐欺師が関与することがあります。攻撃者は通常、どちらかの当事者に属する電子メール アカウントを乗っ取り、適切な時期が来るまで電子メール フローを監視し、銀行情報を変更した偽の請求書を送信します。
- 資格情報の盗難: 攻撃者 ログイン情報を盗む サプライヤーまたはそのクライアント (彼らがアクセスできるネットワーク) に侵入しようとするサプライヤーの数。これは、2013 年の大規模なターゲット違反で起こったことです。 ハッカーが資格情報を盗んだ 小売業者の HVAC サプライヤーの 1 つです。
- データの盗難: 多くのサプライヤーは、クライアント、特に企業秘密に詳しい法律事務所のような企業の機密データを保管しています。これらは、入手可能な情報を求める脅威アクターにとって魅力的な標的となります。 恐喝による収益化 または他の手段。
サプライヤーのリスクをどのように評価して軽減しますか?
特定のサプライ チェーン リスクの種類が何であれ、最終的な結果は同じになる可能性があります。財務的および風評被害、訴訟のリスク、業務停止、売上の損失、顧客の怒りなどです。ただし、業界のベスト プラクティスに従うことで、これらのリスクを管理することは可能です。以下に 8 つのアイデアを示します。
- 新しいサプライヤーに対してデューデリジェンスを実施します。 つまり、セキュリティ プログラムがお客様の期待と一致しているか、脅威の保護、検出、対応のための基本的な対策が講じられているかを確認する必要があります。ソフトウェア サプライヤーの場合は、脆弱性管理プログラムを導入しているかどうか、また製品の品質に関する評判がどのようなものであるかについても考慮する必要があります。
- オープンソースのリスクを管理します。 これは、ソフトウェア構成分析 (SCA) ツールを使用してソフトウェア コンポーネントを可視化し、同時に脆弱性やマルウェアを継続的にスキャンし、バグがあれば迅速にパッチを適用することを意味する場合があります。また、開発者チームが製品開発時に設計によるセキュリティの重要性を理解していることを確認してください。
- すべてのサプライヤーのリスクレビューを実施します。 これは、サプライヤーを理解することから始まり、次に、基本的なセキュリティ対策が講じられているかどうかを確認します。これは自社のサプライチェーンにも拡大する必要があります。頻繁に監査を行い、必要に応じて業界標準および規制の認定を確認します。
- 承認されたすべてのサプライヤーのリストを保持します 監査の結果に応じてこれを定期的に更新します。サプライヤーリストを定期的に監査および更新することで、組織は徹底的なリスク評価を実施し、潜在的な脆弱性を特定し、サプライヤーがサイバーセキュリティ標準を遵守していることを確認できます。
- サプライヤー向けの正式なポリシーを確立します。 これにより、満たさなければならない SLA を含む、サプライヤーのリスクを軽減するための要件の概要が示されます。そのため、これは、サプライチェーン全体のセキュリティを確保するためにサプライヤーが遵守しなければならない期待、基準、手順を概説する基礎文書として機能します。
- サプライヤーのアクセスリスクを管理します。 サプライヤーが企業ネットワークへのアクセスを必要とする場合は、サプライヤー間で最小限の特権の原則を適用します。これは、 ゼロトラストアプローチ、検証されるまですべてのユーザーとデバイスは信頼されず、継続的な認証とネットワーク監視によりリスク軽減層が追加されます。
- インシデント対応計画を作成します。 最悪のシナリオが発生した場合に備えて、脅威が組織に影響を与える前に阻止するために、綿密に練られた計画を立ててください。これには、サプライヤーのために働くチームと連携する方法が含まれます。
- 業界標準の導入を検討してください。 ISO 27001 & ISO 28000 サプライヤーのリスクを最小限に抑えるために、上記の手順のいくつかを実現するための便利な方法がたくさんあります。
によると、昨年米国ではサプライ チェーン攻撃がマルウェア ベースの攻撃より 40% 多かったそうです。 1つのレポート。その結果、10 万人以上の個人に影響を与える侵害が発生しました。より効果的なサプライヤーのリスク管理を通じてコントロールを取り戻す時が来ました。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.welivesecurity.com/en/business-security/assessing-mitigating-cybersecurity-risks-supply-chain/
