İş Güvenliği

Ortaklarınıza ve tedarikçilerinize güvenlik duruşları konusunda körü körüne güvenmek sürdürülebilir değildir; etkili tedarikçi risk yönetimi yoluyla kontrolü ele almanın zamanı geldi

Phil Muncaster

Ocak 25 2024
 • 
,
5 dk. okuman

Dünya tedarik zincirleri üzerine kuruludur. Küresel ticareti ve refahı kolaylaştıran bağ dokusudurlar. Ancak örtüşen ve birbiriyle ilişkili şirketlerin oluşturduğu bu ağlar giderek daha karmaşık ve şeffaf hale geliyor. Çoğu, yazılım ve dijital hizmetlerin tedarikini içerir veya en azından bir şekilde çevrimiçi etkileşimlere dayanır. Bu da onları bozulma ve uzlaşma riskiyle karşı karşıya bırakıyor.

Özellikle KOBİ'ler tedarik zincirlerinde güvenliği yönetmek için proaktif bir şekilde arayışta olmayabilir veya kaynaklara sahip olmayabilir. Ama körü körüne iş ortaklarınıza ve tedarikçilerinize siber güvenlik duruşları konusunda güvenme mevcut iklimde sürdürülebilir değildir. Aslında tedarik zinciri riskini yönetme konusunda ciddileşmenin (geçmişte) zamanı geldi.

Tedarik zinciri riski nedir?

Tedarik zinciri siber riskleri pek çok biçimde olabilir: fidye ve veri hırsızlığından hizmet reddine (DDoS) ve dolandırıcılığa kadar. Profesyonel hizmet firmaları (örneğin avukatlar, muhasebeciler) veya iş yazılımı satıcıları gibi geleneksel tedarikçileri etkileyebilirler. Saldırganlar ayrıca yönetilen hizmet sağlayıcıların (MSP'ler) peşine düşebilir, çünkü bu şekilde tek bir şirketin güvenliğini tehlikeye atarak, potansiyel olarak çok sayıda alt müşteri işletmesine erişim sağlayabilirler. Geçen yılın araştırması MSP'lerin %90'ının önceki 18 ayda bir siber saldırıya uğradığını ortaya çıkardı.

Tedarik zinciri siber saldırılarının ana türlerinden bazıları ve bunların nasıl gerçekleştiği aşağıda açıklanmıştır:

• Güvenliği ihlal edilmiş özel yazılım: Siber suçlular giderek daha cesur hale geliyor. Bazı durumlarda, yazılım geliştiricilerin güvenliğini tehlikeye atmanın bir yolunu bulabildiler ve daha sonra alt müşterilere teslim edilen kodlara kötü amaçlı yazılım yerleştirebildiler. İşte olay bu Kaseya fidye yazılımı kampanyası. Daha yeni bir durumda, popüler dosya aktarım yazılımı MOVE'un güvenliği ihlal edildi Sıfır gün güvenlik açığı ve yüzlerce kurumsal kullanıcıdan çalınan veriler nedeniyle milyonlarca müşteriyi etkiledi. Bu arada, 3CX iletişim yazılımının tehlikeye atılması Bir tedarik zinciri saldırısının diğerine yol açtığı ilk kez kamuya açık olarak belgelenen olay olarak tarihe geçti.
• Açık kaynak tedarik zincirlerine yönelik saldırılar: Çoğu geliştirici, yazılım projelerinin pazara çıkış süresini hızlandırmak için açık kaynak bileşenleri kullanır. Ancak tehdit aktörleri bunu biliyor ve bileşenlere kötü amaçlı yazılım yerleştirmeye ve bunları popüler depolarda kullanıma sunmaya başladı. Bir rapor iddia ediyor Bu tür saldırılarda yıllık bazda %633 artış yaşandı. Tehdit aktörleri aynı zamanda açık kaynak koddaki bazı kullanıcıların düzeltme ekini yavaş yavaş uygulayabileceği güvenlik açıklarından yararlanma konusunda da hızlıdır. Neredeyse her yerde bulunan bir araçta kritik bir hata bulunduğunda olan şey buydu Log4j olarak bilinir.
• Dolandırıcılık amacıyla tedarikçilerin kimliğine bürünmek: olarak bilinen karmaşık saldırılar iş e-postası güvenliği ihlali (BEC) bazen bir müşteriyi kandırıp para göndermesi için tedarikçilerin kimliğine bürünen dolandırıcıları içerir. Saldırgan genellikle bir tarafa veya diğerine ait bir e-posta hesabını ele geçirerek, doğru zaman gelene kadar e-posta akışlarını izleyerek devreye girip değiştirilmiş banka bilgileri içeren sahte bir fatura gönderir.
• Kimlik hırsızlığı: Saldırganlar oturum açma bilgilerini çalmak Tedarikçilerin ya tedarikçiyi ya da müşterilerini (ağlarına erişebilecekleri) ihlal etme girişiminde bulunmaları. 2013'teki büyük Hedef ihlalinde olan da buydu. Bilgisayar korsanları kimlik bilgilerini çaldı perakendecinin HVAC tedarikçilerinden birinin.
• Veri hırsızlığı: Pek çok tedarikçi, özellikle de özel kurumsal sırlara sahip olan hukuk firmaları gibi şirketler, müşterilerine ait hassas verileri saklıyor. Bulabilecekleri bilgileri arayan tehdit aktörleri için cazip bir hedefi temsil ediyorlar. gasp yoluyla para kazanmak veya başka yollarla.

Tedarikçi riskini nasıl değerlendiriyor ve azaltıyorsunuz?

Spesifik tedarik zinciri risk türü ne olursa olsun, nihai sonuç aynı olabilir: mali ve itibar kaybı, dava riski, operasyonel kesintiler, satış kayıpları ve öfkeli müşteriler. Ancak bazı sektördeki en iyi uygulamaları takip ederek bu riskleri yönetmek mümkündür. İşte sekiz fikir:

1. Herhangi bir yeni tedarikçi için durum tespiti yapın. Bu, güvenlik programlarının beklentilerinize uygun olup olmadığını ve tehdit koruması, tespit ve yanıt için temel önlemlerin alınıp alınmadığını kontrol etmek anlamına gelir. Yazılım tedarikçileri için bu konu aynı zamanda bir güvenlik açığı yönetimi programına sahip olup olmadıklarını ve ürünlerinin kalitesine ilişkin itibarlarının ne olduğunu da kapsamalıdır.
2. Açık kaynak risklerini yönetin. Bu, yazılım bileşenlerinde görünürlük elde etmek için yazılım kompozisyon analizi (SCA) araçlarını kullanmanın yanı sıra güvenlik açıkları ve kötü amaçlı yazılımlara karşı sürekli tarama ve herhangi bir hatanın anında yamalanması anlamına gelebilir. Ayrıca geliştirici ekiplerinin, ürünleri geliştirirken tasarım yoluyla güvenliğin önemini anladığından emin olun.
3. Tüm tedarikçilerin risk incelemesini yapın. Bu, tedarikçilerinizin kim olduğunu anlamak ve ardından temel güvenlik önlemlerine sahip olup olmadıklarını kontrol etmekle başlar. Bu, kendi tedarik zincirlerine kadar uzanmalıdır. Sık sık denetleyin ve uygun olan yerlerde endüstri standartları ve düzenlemelerine göre akreditasyon olup olmadığını kontrol edin.
4. Onaylanmış tüm tedarikçilerinizin bir listesini tutun ve bunu denetiminizin sonuçlarına göre düzenli olarak güncelleyin. Tedarikçi listesinin düzenli olarak denetlenmesi ve güncellenmesi, kuruluşların kapsamlı risk değerlendirmeleri yapmasına, potansiyel güvenlik açıklarını belirlemesine ve tedarikçilerin siber güvenlik standartlarına uymasını sağlamasına olanak tanıyacak.
5. Tedarikçiler için resmi bir politika oluşturun. Bu, karşılanması gereken SLA'lar da dahil olmak üzere tedarikçi riskini azaltmaya yönelik gereksinimlerinizi özetlemelidir. Bu haliyle, genel tedarik zincirinin güvenliğini sağlamak için tedarikçilerin uyması gereken beklentileri, standartları ve prosedürleri özetleyen temel bir belge görevi görür.
6. Tedarikçi erişim risklerini yönetin. Kurumsal ağa erişime ihtiyaç duymaları halinde tedarikçiler arasında en az ayrıcalık ilkesini uygulayın. Bu bir programın parçası olarak konuşlandırılabilir Sıfır Güven yaklaşımı, doğrulanana kadar tüm kullanıcılara ve cihazlara güvenilmediği, sürekli kimlik doğrulama ve ağ izlemenin ilave bir risk azaltma katmanı sağladığı bir ortam.
7. Bir olay müdahale planı geliştirin. En kötü senaryo durumunda, tehdidi kuruluşu etkileme şansına sahip olmadan önce kontrol altına almak için iyi prova edilmiş bir planınızın olduğundan emin olun. Bu, tedarikçileriniz için çalışan ekiplerle nasıl iletişim kuracağınızı da içerecektir.
8. Endüstri standartlarını uygulamayı düşünün. ISO 27001 ve ISO 28000 Tedarikçi riskini en aza indirmek amacıyla yukarıda listelenen adımlardan bazılarını gerçekleştirmenin birçok yararlı yolu vardır.

Geçen yıl ABD'de kötü amaçlı yazılım tabanlı saldırılardan %40 daha fazla tedarik zinciri saldırısı gerçekleşti. bir rapor. 10 milyondan fazla kişiyi etkileyen ihlallerle sonuçlandı. Daha etkili tedarikçi risk yönetimi yoluyla kontrolü geri almanın zamanı geldi.