fra rsa til solarwinds erfaringer fra et årti med forsyningskædebrud banner

Fra RSA til SolarWinds: erfaringer fra et årti med forsyningskædebrud

I løbet af det seneste årti er forsyningskædeangreb blevet en af ​​de førende årsager til brud. Forbindelser til et netværk medfører udnyttelige sårbarheder og en øget risiko for sikkerhedshændelser. Dan Raywood undersøger, hvorfor forsyningskæden fortsat er et så udfordrende problem for organisationer, og tilbyder nogle løsninger.

Forstå udfordringen

Virkeligheden af ​​forsyningskædeangreb er tydelige at se: fra angreb på RSA tilbage i 2011, hvor der var en intention om at komme ind i Lockheed Martin, til hændelsen ti år senere, hvor trusselsaktører udnyttede software eller legitimationsoplysninger fra mindst tre virksomheder – især Solarwinds' Orion-software – for at ramme den amerikanske regering.

Det, vi ved om forsyningskædeangreb, er sandsynligvis en gennemtråkket vej: Angribere udnytter en sårbarhed i én enhed til at vinde en rute ind i en anden og ofte større virksomhed for at opnå et brud, opholde sig i et miljø eller noget uhyggeligt.

Et forsyningskædeangreb synes utroligt svært at forhindre, da det involverer en kæde af begivenheder, og en forsvarer bliver nødt til at tage alvorlige forholdsregler for at vide, hvem der er forbundet med dem, og hvilke hændelser de har oplevet.

Erkendelse af risikoen

Nylig forskning fra BlackBerry fandt det 74 % af angrebene stammede fra medlemmer af softwareforsyningskæden, som virksomheder var uvidende om eller ikke overvågede før bruddet.

Hvordan kan du være sikker på, at de enheder, der forbinder til din virksomhed, er sikre og overholder samme niveau af overholdelse som din virksomhed? Richard Starnes, CISO fra Six Degrees Group, siger, at dette er muligt, hvis du bruger en flow-down-kontrakt, som kræver, at enhver virksomhed, du arbejder med, følger dit spor og kan rulle ned til andre leverandører.

"Du har et krav til en kunde, der skitserer specifikationer, der skal opfyldes, og hvis de ikke kan opfylde disse specifikationer, så kan jeg ikke bruge dem," siger Starnes.

Styrkelse af det svageste led

Starnes siger, at et af hovedproblemerne, der muliggør forsyningskædeangreb, er inddragelsen af ​​små og mellemstore virksomheder, da større virksomheder har været mere komplekse at gå ind i, og dvaletiden ikke er, hvad den plejede at være - Mandiant's 2024 M Trends rapport bemærkede, at opholdstiden var faldet fra 16 dage til ti fra 2022 til 2023.

Ian Thornton-Trump, Cyjax' CISO, siger, at erfaringer fra supply chain-angreb viser, at der skal være en bedre forståelse af konsekvenserne af dine kunders og leverandørers sikkerhedssvigt." Det, du kan gøre, er at overvåge dem og deres sikkerhedsposition og deres krav til sikkerhedsoverholdelse, og når de har et sikkerhedsbrud, giver de dig besked først,” siger han.

"Dette handler ikke om et modstridende forhold, da du ikke forsøger at fange dem, men det giver dig en mulighed for at foretage ændringer i stedet for at gå ind i en defensiv holdning."

Dette flytter til spørgsmålet om at finde ud af sikkerhedsproblemer via medierne i stedet for at blive informeret direkte af offeret, hvilket giver dig mulighed for at reagere på hændelser og overvågning.

Opbygning af et tillidsbaseret økosystem

Blackberry-undersøgelsen viste, at 65 % af virksomhederne informerer deres kunder om hændelser, med 51 % bekymrede over den negative indvirkning på virksomhedens omdømme.

Thornton-Trump siger, at den eneste måde at 'stole på, men verificere' er, hvis der er gennemsigtighed på alle sider, så du kan forberede dig, hvis der sker et brud, og du ved, hvordan du skal reagere.

Korrekte trin

Hvad er de korrekte trin for at sikre, at du finder alle de huller, som en angriber kan ramme dig igennem, inklusive professionelle – og potentielt endda kompatible – virksomheder? Vejledning fra Storbritanniens National Cybersecurity Center om forsyningskædesikkerhed anbefaler en række principper, som omfatter at vide, hvem dine leverandører er, at opbygge en forståelse af, hvordan deres sikkerhed ser ud, og at danne en handlingsplan.

Disse anbefalinger kræver også stor afhængighed af dine leverandørers sikkerhedsordninger. Dette kan indebære at kræve, at "potentielle leverandører skal fremlægge dokumentation for deres tilgang til sikkerhed og deres evne til at opfylde de minimumssikkerhedskrav, du har opstillet på forskellige stadier af kontraktkonkurrencen" og at forklare begrundelsen for disse krav til dine leverandører, så de forstår, hvad er påkrævet.

Udnyttelse af etablerede rammer og standarder

Vedligeholdelse af overholdelse af ISO 27001 kan hjælpe med at sikre, at dine leverandører er på samme niveau som dig. Det kan gøre det muligt for dig at undersøge dine leverandører bedre og insistere på deres overholdelsesniveau uden at kræve en tjekliste eller spørgeskema.

Tredjepartstjenesteudbydere skal implementere passende sikkerhedsforanstaltninger, der regelmæssigt overvåges og gennemgås, når de arbejder med virksomheder, der bruger ISO 27001

standard som autoværn til leverandørstyring. Sam Peters, CPO hos ISMS.online forklarer, "dette gør det muligt for organisationer at identificere, evaluere og adressere sikkerhedsrisici knyttet til eksterne leverandører og giver virksomheder mulighed for at opstille foruddefinerede sikkerhedskriterier og udføre periodiske vurderinger, hvilket sikrer løbende overholdelse og sikkerhed."

ISO 27001 kræver også, at virksomheder opretholder omfattende registreringer af alle tredjepartsinteraktioner, herunder risikovurderinger, sikkerhedskrav fastsat i kontrakter og løbende præstationsovervågning.

I sidste ende, hævder Peters, "ISO 27001 lægger grundlaget for strenge partner- og leverandørkontrolprocesser, robuste partnerskabsaftaler og en kultur med løbende forbedringer, hvilket giver dig et niveau af sikkerhedsregulering, der burde give dig ekstra selvtillid."

Tredje og fjerde Forbindelse

En anden overvejelse er det videre flow ned til tredjeparts- og tredjepartsforbindelser. Forskning udgivet tidligere i år fra Security Scorecard fandt, at 97 % af virksomhederne i Storbritannien har en krænket enhed i deres tredjeparts økosystem.

Starnes sagde, at mange virksomheder rangerer deres leverandører og har en beskrivelse af leverandøren, der dikterer den lovgivningsmæssige overholdelse, de placerer på denne enhed.

"For en tier 1-leverandør ville du bruge et spørgeskema administreret hvert år, mens du for en tier 2-leverandør ville få lavet et mindre dybdegående spørgeskema hvert andet år.

"For en tier 3-leverandør har du endnu et spørgeskema og en meddelelse om, hvornår der er en væsentlig ændring eller en hændelse, og det er hvor mange af dem, der styres."

Overvindelse af ressourceudfordringer

Mens styring af forsyningskædesikkerhed kan være ressourcekrævende, betaler indsatsen sig i det lange løb. På trods af tidsforpligtelsen er organisering og revision af din forsyningskæde afgørende for at opretholde et sikkert netværk. Automatisering af dele af denne proces og udnyttelse af overholdelsesstandarder kan strømline indsatsen og reducere byrden på sikkerhedsteams.

En sti frem

Ved at anvende en "trust but verify"-tilgang og fremme gennemsigtighed kan virksomheder styrke deres forsyningskæder mod potentielle trusler. Kontinuerlig overvågning, klar kommunikation og overholdelse af overholdelsesstandarder er afgørende for at skabe en robust og sikker forsyningskæde. Selvom udfordringen er betydelig, kan proaktive og positive strategier, herunder vedtagelse af et ISMS, gøre en væsentlig forskel i sikringen mod forsyningskædeangreb.

Forfatter

Dan Raywood

Dan Raywood har skrevet om IT-sikkerhed siden 2008 og er tidligere analytiker i Information Security Practice hos 451 Research. Han har talt ved shows, herunder 44CON, SecuriTay, SteelCon, Irisscon og Infosecurity Europe, ligesom han har skrevet for en række leverandørblogs og præsenteret på webcasts.

Se alle indlæg af Dan Raywood

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!