An ninh kinh doanh
Tin tưởng một cách mù quáng vào tình hình bảo mật của đối tác và nhà cung cấp của bạn là không bền vững – đã đến lúc kiểm soát thông qua quản lý rủi ro nhà cung cấp hiệu quả
25 Jan 2024
•
,
5 phút đọc
Thế giới được xây dựng trên chuỗi cung ứng. Chúng là mô liên kết tạo điều kiện thuận lợi cho thương mại và thịnh vượng toàn cầu. Nhưng mạng lưới các công ty chồng chéo và có liên quan với nhau này ngày càng phức tạp và không rõ ràng. Hầu hết đều liên quan đến việc cung cấp phần mềm và dịch vụ kỹ thuật số, hoặc ít nhất là phụ thuộc vào các tương tác trực tuyến theo cách nào đó. Điều đó khiến họ có nguy cơ bị gián đoạn và thỏa hiệp.
Đặc biệt, các SMB có thể không chủ động tìm kiếm hoặc có đủ nguồn lực để quản lý bảo mật trong chuỗi cung ứng của họ. Nhưng mù quáng tin tưởng các đối tác và nhà cung cấp của bạn về tư thế an ninh mạng của họ không bền vững trong điều kiện hiện tại. Thật vậy, đã đến lúc phải nghiêm túc thực hiện việc quản lý rủi ro chuỗi cung ứng.
Rủi ro chuỗi cung ứng là gì?
Rủi ro mạng trong chuỗi cung ứng có thể có nhiều hình thức, từ ransomware và đánh cắp dữ liệu đến từ chối dịch vụ (DDoS) và gian lận. Chúng có thể tác động đến các nhà cung cấp truyền thống như các công ty dịch vụ chuyên nghiệp (ví dụ: luật sư, kế toán) hoặc nhà cung cấp phần mềm kinh doanh. Những kẻ tấn công cũng có thể truy lùng các nhà cung cấp dịch vụ được quản lý (MSP), vì bằng cách xâm phạm một công ty theo cách này, chúng có thể có quyền truy cập vào một số lượng lớn các doanh nghiệp khách hàng tiềm năng ở hạ nguồn. Nghiên cứu từ năm ngoái tiết lộ rằng 90% MSP đã bị tấn công mạng trong 18 tháng trước đó.
Dưới đây là một số loại tấn công mạng chính trong chuỗi cung ứng và cách chúng xảy ra:
- Phần mềm độc quyền bị xâm phạm: Tội phạm mạng ngày càng táo bạo hơn. Trong một số trường hợp, họ có thể tìm cách xâm nhập vào các nhà phát triển phần mềm và chèn phần mềm độc hại vào mã sau đó được gửi đến khách hàng phía sau. Đây là điều đã xảy ra trong Chiến dịch ransomware Kaseya. Trong trường hợp gần đây hơn, phần mềm truyền tập tin phổ biến MOVEit đã bị xâm phạm bởi lỗ hổng zero-day và dữ liệu bị đánh cắp từ hàng trăm người dùng doanh nghiệp, ảnh hưởng đến hàng triệu khách hàng của họ. Trong khi đó, sự xâm phạm của phần mềm giao tiếp 3CX đã đi vào lịch sử với tư cách là sự cố được ghi lại công khai đầu tiên về một cuộc tấn công chuỗi cung ứng dẫn đến một cuộc tấn công khác.
- Các cuộc tấn công vào chuỗi cung ứng nguồn mở: Hầu hết các nhà phát triển sử dụng các thành phần nguồn mở để tăng tốc thời gian tiếp thị các dự án phần mềm của họ. Nhưng những kẻ đe dọa biết điều này và đã bắt đầu chèn phần mềm độc hại vào các thành phần và cung cấp chúng trong các kho lưu trữ phổ biến. Một báo cáo tuyên bố số vụ tấn công như vậy đã tăng 633% so với cùng kỳ năm trước. Các tác nhân đe dọa cũng nhanh chóng khai thác các lỗ hổng trong mã nguồn mở mà một số người dùng có thể chậm vá. Đây là điều đã xảy ra khi một lỗi nghiêm trọng được tìm thấy trong một công cụ gần như phổ biến được gọi là Log4j.
- Mạo danh nhà cung cấp để lừa đảo: Các cuộc tấn công tinh vi được gọi là thỏa hiệp email kinh doanh (BEC) đôi khi liên quan đến những kẻ lừa đảo mạo danh nhà cung cấp để lừa khách hàng chuyển tiền cho họ. Kẻ tấn công thường sẽ chiếm đoạt tài khoản email của bên này hoặc bên kia, theo dõi các luồng email cho đến thời điểm thích hợp để xâm nhập và gửi hóa đơn giả với các chi tiết ngân hàng đã bị thay đổi.
- Đánh cắp thông tin xác thực: Kẻ tấn công ăn cắp thông tin đăng nhập của các nhà cung cấp nhằm cố gắng xâm phạm nhà cung cấp hoặc khách hàng của họ (mạng lưới mà họ có thể có quyền truy cập). Đây là những gì đã xảy ra trong vụ vi phạm Target lớn năm 2013 khi tin tặc đã đánh cắp thông tin đăng nhập của một trong những nhà cung cấp HVAC của nhà bán lẻ.
- Trộm cắp dữ liệu: Nhiều nhà cung cấp lưu trữ dữ liệu nhạy cảm về khách hàng của họ, đặc biệt là các công ty như công ty luật giữ bí mật riêng tư của công ty. Chúng đại diện cho một mục tiêu hấp dẫn cho các tác nhân đe dọa đang tìm kiếm thông tin mà chúng có thể kiếm tiền bằng cách tống tiền hoặc các phương tiện khác.
Làm thế nào để bạn đánh giá và giảm thiểu rủi ro nhà cung cấp?
Bất kể loại rủi ro chuỗi cung ứng cụ thể nào, kết quả cuối cùng đều có thể giống nhau: thiệt hại về tài chính và danh tiếng cũng như rủi ro kiện tụng, ngừng hoạt động, mất doanh thu và khách hàng tức giận. Tuy nhiên, có thể quản lý những rủi ro này bằng cách làm theo một số phương pháp hay nhất trong ngành. Dưới đây là tám ý tưởng:
- Thực hiện thẩm định đối với bất kỳ nhà cung cấp mới nào. Điều đó có nghĩa là kiểm tra xem chương trình bảo mật của họ có phù hợp với mong đợi của bạn không và họ có sẵn các biện pháp cơ bản để bảo vệ, phát hiện và ứng phó với mối đe dọa hay không. Đối với các nhà cung cấp phần mềm, vấn đề cũng cần được xem xét là liệu họ có chương trình quản lý lỗ hổng bảo mật hay không và danh tiếng của họ liên quan đến chất lượng sản phẩm của họ như thế nào.
- Quản lý rủi ro nguồn mở. Điều này có thể có nghĩa là sử dụng các công cụ phân tích thành phần phần mềm (SCA) để có được khả năng hiển thị các thành phần phần mềm, bên cạnh việc liên tục quét các lỗ hổng và phần mềm độc hại, đồng thời nhanh chóng vá bất kỳ lỗi nào. Đồng thời đảm bảo nhóm nhà phát triển hiểu tầm quan trọng của bảo mật theo thiết kế khi phát triển sản phẩm.
- Tiến hành đánh giá rủi ro của tất cả các nhà cung cấp. Điều này bắt đầu bằng việc hiểu rõ nhà cung cấp của bạn là ai và sau đó kiểm tra xem họ có áp dụng các biện pháp bảo mật cơ bản hay không. Điều này sẽ mở rộng đến chuỗi cung ứng của riêng họ. Kiểm tra thường xuyên và kiểm tra việc công nhận các tiêu chuẩn và quy định của ngành khi thích hợp.
- Giữ một danh sách tất cả các nhà cung cấp được phê duyệt của bạn và cập nhật thông tin này thường xuyên theo kết quả kiểm tra của bạn. Việc kiểm tra và cập nhật thường xuyên danh sách nhà cung cấp sẽ cho phép các tổ chức tiến hành đánh giá rủi ro kỹ lưỡng, xác định các lỗ hổng tiềm ẩn và đảm bảo rằng các nhà cung cấp tuân thủ các tiêu chuẩn an ninh mạng.
- Thiết lập chính sách chính thức cho nhà cung cấp. Điều này sẽ phác thảo các yêu cầu của bạn để giảm thiểu rủi ro cho nhà cung cấp, bao gồm mọi SLA phải được đáp ứng. Do đó, nó đóng vai trò như một tài liệu nền tảng nêu rõ những kỳ vọng, tiêu chuẩn và quy trình mà nhà cung cấp phải tuân thủ để đảm bảo an ninh cho toàn bộ chuỗi cung ứng.
- Quản lý rủi ro tiếp cận nhà cung cấp. Thực thi nguyên tắc đặc quyền tối thiểu giữa các nhà cung cấp nếu họ yêu cầu quyền truy cập vào mạng công ty. Điều này có thể được triển khai như một phần của Phương pháp tiếp cận Zero Trust, nơi tất cả người dùng và thiết bị đều không đáng tin cậy cho đến khi được xác minh, với tính năng xác thực và giám sát mạng liên tục sẽ bổ sung thêm một lớp giảm thiểu rủi ro.
- Xây dựng kế hoạch ứng phó sự cố. Trong trường hợp xấu nhất xảy ra, hãy đảm bảo bạn có kế hoạch được chuẩn bị kỹ lưỡng để thực hiện nhằm ngăn chặn mối đe dọa trước khi nó có cơ hội ảnh hưởng đến tổ chức. Điều này sẽ bao gồm cách liên lạc với các nhóm làm việc cho nhà cung cấp của bạn.
- Xem xét việc thực hiện các tiêu chuẩn ngành. ISO 27001 và ISO 28000 có rất nhiều cách hữu ích để đạt được một số bước nêu trên nhằm giảm thiểu rủi ro cho nhà cung cấp.
Tại Mỹ năm ngoái, số vụ tấn công chuỗi cung ứng nhiều hơn 40% so với các cuộc tấn công dựa trên phần mềm độc hại, theo một báo cáo. Chúng đã dẫn đến các vi phạm ảnh hưởng đến hơn 10 triệu cá nhân. Đã đến lúc lấy lại quyền kiểm soát thông qua quản lý rủi ro nhà cung cấp hiệu quả hơn.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.welivesecurity.com/en/business-security/assessing-mitigating-cybersecurity-risks-supply-chain/
