비즈니스 보안

보안 상태에 대해 파트너와 공급업체를 맹목적으로 신뢰하는 것은 지속 가능하지 않습니다. 이제는 효과적인 공급업체 위험 관리를 통해 제어할 때입니다.

필 먼캐스터

1월 25 2024
 • 
,
5 분. 읽다

세상은 공급망을 기반으로 구축되었습니다. 그들은 세계 무역과 번영을 촉진하는 결합 조직입니다. 그러나 이러한 중복되고 상호 연관된 회사의 네트워크는 점점 더 복잡하고 불투명해지고 있습니다. 대부분은 소프트웨어 및 디지털 서비스 공급과 관련이 있거나 적어도 어떤 방식으로든 온라인 상호 작용에 의존합니다. 이로 인해 혼란과 타협의 위험에 처하게 됩니다.

특히 중소기업은 공급망의 보안을 관리하기 위해 적극적으로 노력하지 않거나 리소스를 보유하고 있지 않을 수 있습니다. 하지만 맹목적으로 사이버 보안 상태에 대해 파트너와 공급업체를 신뢰합니다. 현재 기후에서는 지속 가능하지 않습니다. 실제로 공급망 리스크 관리에 대해 진지하게 고민해야 할 때가 왔습니다.

공급망 위험이란 무엇입니까?

공급망 사이버 위험은 다음과 같은 다양한 형태를 취할 수 있습니다. 랜섬 데이터 도용부터 서비스 거부(DDoS) 및 사기까지 다양합니다. 이는 전문 서비스 회사(예: 변호사, 회계사) 또는 비즈니스 소프트웨어 공급업체와 같은 전통적인 공급업체에 영향을 미칠 수 있습니다. 공격자는 관리형 서비스 제공업체(MSP)를 공격할 수도 있습니다. 이러한 방식으로 단일 회사를 손상시킴으로써 잠재적으로 많은 수의 다운스트림 클라이언트 비즈니스에 액세스할 수 있기 때문입니다. 작년부터의 연구 지난 90개월 동안 MSP의 18%가 사이버 공격을 받은 것으로 나타났습니다.

공급망 사이버 공격의 주요 유형과 발생 방식은 다음과 같습니다.

• 손상된 독점 소프트웨어: 사이버범죄자들은 ​​점점 더 대담해지고 있습니다. 어떤 경우에는 소프트웨어 개발자를 손상시키고 이후 다운스트림 고객에게 전달되는 코드에 맬웨어를 삽입하는 방법을 찾을 수 있었습니다. 에서 이런 일이 일어났습니다. Kaseya 랜섬웨어 캠페인. 최근의 경우 널리 사용되는 파일 전송 소프트웨어 MOVEit이 손상되었습니다 수백 명의 기업 사용자로부터 제로데이 취약점과 데이터를 도난당하여 수백만 명의 고객에게 영향을 미쳤습니다. 한편, 3CX 통신 소프트웨어의 손상 하나의 공급망 공격이 다른 공격으로 이어진 최초의 공개 문서화된 사건으로 역사상 기록되었습니다.
• 오픈 소스 공급망에 대한 공격: 대부분의 개발자는 오픈 소스 구성 요소를 사용하여 소프트웨어 프로젝트의 출시 기간을 단축합니다. 그러나 위협 행위자들은 이를 알고 구성 요소에 악성 코드를 삽입하고 인기 있는 저장소에서 사용할 수 있도록 만들기 시작했습니다. 한 보고서는 주장한다. 이러한 공격은 전년 대비 633% 증가했습니다. 또한 위협 행위자는 일부 사용자가 패치하는 데 시간이 걸릴 수 있는 오픈 소스 코드의 취약점을 빠르게 악용합니다. 거의 유비쿼터스에 가까운 도구에서 심각한 버그가 발견되었을 때 일어난 일입니다. Log4j로 알려져 있음.
• 사기 행위를 위해 공급업체를 사칭하는 행위: 알려진 정교한 공격 비즈니스 이메일 타협 (BEC)에는 때때로 고객을 속여 돈을 송금하도록 하기 위해 공급업체를 사칭하는 사기꾼이 포함됩니다. 공격자는 일반적으로 한쪽 또는 다른 쪽의 이메일 계정을 탈취하여 적절한 시간이 될 때까지 이메일 흐름을 모니터링하고 변경된 은행 정보가 포함된 가짜 송장을 보냅니다.
• 자격 증명 도용: 공격자 로그인을 훔치다 공급업체 또는 고객(접근할 수 있는 네트워크)을 위반하려는 시도로 공급업체를 공격하는 행위. 이는 2013년 대규모 Target 침해 사건에서 일어난 일입니다. 해커가 자격 증명을 훔쳤습니다. 소매업체의 HVAC 공급업체 중 하나입니다.
• 데이터 도난: 많은 공급업체는 고객, 특히 은밀한 기업 비밀을 알고 있는 법률 회사와 같은 회사의 민감한 데이터를 저장합니다. 그들은 가능한 정보를 찾는 위협 행위자들에게 매력적인 표적이 됩니다. 강탈을 통해 수익을 창출하다 또는 다른 수단.

공급업체 위험을 어떻게 평가하고 완화합니까?

특정 공급망 위험 유형이 무엇이든 최종 결과는 동일할 수 있습니다. 즉, 재정 및 평판 손상, 소송 위험, 운영 중단, 매출 손실, 고객 분노 등이 발생할 수 있습니다. 그러나 일부 업계 모범 사례를 따르면 이러한 위험을 관리하는 것이 가능합니다. 다음은 8가지 아이디어입니다.

1. 새로운 공급업체에 대해 실사를 수행합니다. 이는 보안 프로그램이 귀하의 기대에 부합하는지 확인하고 위협 방지, 탐지 및 대응을 위한 기본 조치가 마련되어 있는지 확인하는 것을 의미합니다. 소프트웨어 공급업체의 경우 취약성 관리 프로그램이 마련되어 있는지 여부와 제품 품질에 대한 평판이 어떠한지까지 확대해야 합니다.
2. 오픈소스 위험을 관리하세요. 이는 소프트웨어 구성 분석(SCA) 도구를 사용하여 소프트웨어 구성 요소에 대한 가시성을 확보하고, 취약점과 악성 프로그램에 대한 지속적인 검색, 버그에 대한 즉각적인 패치를 의미할 수 있습니다. 또한 개발자 팀이 제품을 개발할 때 설계에 따른 보안의 중요성을 이해하도록 하십시오.
3. 모든 공급업체에 대해 위험 검토를 수행합니다. 이는 공급업체가 누구인지 파악한 다음 기본 보안 조치가 마련되어 있는지 확인하는 것부터 시작됩니다. 이는 자체 공급망으로 확장되어야 합니다. 자주 감사하고 적절한 경우 산업 표준 및 규정에 대한 인증을 확인하십시오.
4. 승인된 모든 공급업체 목록을 유지하세요. 감사 결과에 따라 이를 정기적으로 업데이트합니다. 공급업체 목록을 정기적으로 감사하고 업데이트하면 조직은 철저한 위험 평가를 수행하고 잠재적인 취약성을 식별하며 공급업체가 사이버 보안 표준을 준수하도록 할 수 있습니다.
5. 공급업체를 위한 공식 정책을 수립합니다. 여기에는 충족해야 하는 SLA를 포함하여 공급업체 위험을 완화하기 위한 요구 사항이 요약되어 있습니다. 따라서 이는 전체 공급망의 보안을 보장하기 위해 공급업체가 준수해야 하는 기대치, 표준 및 절차를 설명하는 기본 문서 역할을 합니다.
6. 공급업체 접근 위험을 관리합니다. 기업 네트워크에 액세스해야 하는 경우 공급업체 간에 최소 권한 원칙을 시행합니다. 이는 다음의 일부로 배포될 수 있습니다. 제로 트러스트 접근 방식, 확인될 때까지 모든 사용자와 장치를 신뢰할 수 없으며 지속적인 인증 및 네트워크 모니터링을 통해 위험 완화 계층이 추가됩니다.
7. 사고 대응 계획을 개발합니다. 최악의 시나리오가 발생하는 경우 위협이 조직에 영향을 미치기 전에 위협을 억제하기 위해 잘 연습된 계획을 가지고 있는지 확인하십시오. 여기에는 공급업체를 위해 일하는 팀과 연락하는 방법이 포함됩니다.
8. 업계 표준 구현을 고려하세요. ISO 27001 과 ISO 28000 공급업체 위험을 최소화하기 위해 위에 나열된 일부 단계를 달성할 수 있는 유용한 방법이 많이 있습니다.

지난해 미국에서는 맬웨어 기반 공격보다 공급망 공격이 40% 더 많았습니다. 하나의 보고서. 이로 인해 천만 명이 넘는 개인에게 영향을 미치는 위반이 발생했습니다. 이제 보다 효과적인 공급업체 위험 관리를 통해 통제권을 되찾을 때입니다.