Yıllardır yapılan uyarılara rağmen tedarik zinciri riski, tedarik zincirinin en kırılgan ve en hafife alınan yönlerinden biri olmayı sürdürüyor. siber güvenlik.
Bu yılın en yıkıcı ve yüksek profilli siber olaylarının çoğunda ortak bir temel faktör vardı; Saldırganın hedef şirkete giden yolu üçüncü taraf bir sağlayıcı üzerinden geçiyordu.
ThreatAware’in CEO’su ve kurucu ortağı.
Siber güvenliğin temel gerçeği, göremediğiniz şeyi kontrol edememenizdir ve bu risk, tedarik zincirinizin içinden ziyade tedarik zincirinizdeki harici bir üçüncü taraf sağlayıcıdan, tedarikçiden veya ortaktan kaynaklandığında katlanarak artar. ağ.
Ancak pek çok kuruluş hâlâ güvenlik kanıtı olarak kendi kendine değerlendirilen anketlere ve güncelliği geçmiş uyumluluk sertifikalarına güveniyor.
Kuruluşlar, her ortağının güvenliğini gerçek zamanlı olarak doğrulayana kadar, güvenceden ziyade varsayımlara dayanmaya devam edecekler ve saldırganlar, tedarik zincirinizdeki zayıf noktaları zaten sizden daha iyi anlıyorsa bu tehlikeli bir durumdur.
Tedarik zinciri saldırıları neden devam ediyor?
Bunun temel nedenlerinden biri, saldırganların çabalarının karşılığını en iyi şekilde almak istemeleri ve iyi savunulan bir kuruluşa ulaşmanın en kolay yollarından birinin bir ortak aracılığıyla olduğunu öğrenmiş olmalarıdır. Hiçbir hırsız, iyi korunan bir binanın ön kapısını, eğer anahtarı çalıp arka kapıdan içeri girebilseydi, kırmaya kalkışmazdı.
Ayrıca ölçeğin avantajı da var: BT sağlayan tek bir şirket, İKBirden fazla müşteriye yönelik muhasebe veya satış hizmetlerinin kendisini korumak için daha az kaynağı olabilir, doğal saldırı noktası da budur.
Küçük tedarikçiler, hizmet sağlayıcılar ve yükleniciler genellikle destekledikleri daha büyük kuruluşlarla aynı düzeyde korumayı uygulamaya koyacak bütçe ve kaynaklara sahip olmasalar da sıklıkla birden fazla ortama ayrıcalıklı erişime sahiptirler.
Bu, ele alınması için ortak çaba gerektiren yaygın bir sorundur, ancak yanıt şu ana kadar yetersiz kalmıştır. Çoğu tedarikçi kontrolü hâlâ elektronik tablolaranketler ve kendi kendine doğrulanan ve statik olan sertifikalar.
Cyber Essentials, ISO 27001 veya SOC 2 gibi programlar bir yapı sunar, ancak bunlar yalnızca bir zamanlar iyi niyetin olduğunu doğrular ve size bugün neyin doğru olduğunu söylemez.
Bu planların değeri vardır, ancak yalnızca anlık bir anlık görüntü sunarlar. Gerçekte güvenlik duruşu her gün değişmektedir. Bir web sitesindeki sertifika size çok faktörlü olup olmadığı hakkında hiçbir şey söylemez. kimlik doğrulama uygulanır, cihazlar şifrelenir veya uç noktalara yama uygulanır.
Siber risklerin doğası bu kadar hızlı değiştiğinde, tedarikçilerin yıllık denetimleri güvenlik duruşlarına ilişkin en doğru kanıtları sağlayamıyor. Sonuç, uyumluluğun çoğu zaman bir rahatlık battaniyesi haline geldiği, güven üzerine kurulu bir ekosistemdir.
Bu arada saldırganlar, kendilerini durdurmak için tasarlanan doğrulama süreçlerinden çok daha hızlı hareket ederek her denetim döngüsü arasındaki gecikmeden yararlanıyor.
Doğrulama sürekli bir sürece dönüşmediği sürece, ihlaller tedarik zincirine yayılmaya devam ederken biz evrak işlerine güvenmeye devam edeceğiz. Böylece her satıcı ilişkisi, sömürülmeyi bekleyen bir kör noktaya dönüşür. Bu bağlantıların güvenliğini sürekli ölçmüyorsanız, onları geliştirmiyorsunuz demektir.
Göremediğiniz şeyi güvence altına alamazsınız
Tek bir kuruluş içinde bile çoğu güvenlik ekibi hâlâ resmin tamamını görmekte zorlanıyor. İncelediğim sayısız ortamda her zaman gözden kaçan cihazlar, hesaplar veya uygulamalar vardır.
Bazı durumlarda kuruluşların, var olduğunu düşündüklerinden %30 daha fazla cihaz keşfettiklerini görüyoruz. Kendi duvarlarımızın içinde tam bir görünürlük sağlayamazsak, etrafı anlayabileceğimizi düşünmek gerçekçi olmaz. güvenlik yüzlerce dış ortağın duruşu.
Peki kuruluşlar bu görünürlük açığını nasıl kapatmaya başlayabilir?
Sürekli doğrulama neye benziyor?
İster tedarikçi ister müşteri olsun her şirket, proaktif savunma düzeyini gerçek zamanlı olarak gösterebilmelidir. Bu, sürekli, veriye dayalı ve tartışılmaz doğrulama anlamına gelir.
Mevcut durumunuzu göstermek için canlı verileri kullanarak otomatik olarak yenilenen bir sertifika düşünün; çalıştırdığınız sistemlere ve sahip olduğunuz savunmalara doğrudan bağlı olduğundan sahtesi yapılamaz.
Otomasyon bunu başarılabilir kılar. Sürekli izleme, aşağıdaki gibi kontrollerin olup olmadığını doğrulayabilir: uç nokta korumasıMFA veya yama etkin ve çalışıyor. Müşteriler ve tedarikçiler arasında paylaşılan kontrol panelleri, zincir genelinde güvenlik durumuna ilişkin şeffaf bir görünüm sağlayabilir.
Bu dünyada tedarikçiler yalnızca güvende olduklarını iddia etmiyor, bunu kanıtlıyorlar. Sonunda tedarik zincirinde dayanıklılık oluşturacak olan şey vaatler değil kanıtlardır.
Üçüncü taraf güvence kültürünü değiştirmek
Teknoloji tek başına tedarik zinciri sorununu çözmeyecek ve zihniyette de bir değişikliğe ihtiyaç var. Pek çok yönetim kurulu bir sonraki büyük güvenlik trendi nedeniyle dikkati dağılıyor ve ihlalleri gerçekten azaltacak temel hususları gözden kaçırıyor.
İhlali önlemenin tıpkı diğerleri gibi ölçülmesi, raporlanması ve önceliklendirilmesi gerekiyor işletme KPI. Bir tedarikçi savunmasının yerinde ve çalıştığını gösteremezse, bu teknik bir sorun olarak değil, performans hatası olarak değerlendirilmelidir.
Yıllardır siber güvenlik, bir uyumluluk görevi olarak ele alındı; bir kez geçilip daha sonra yeniden ele alınması gereken bir şey. Bu kültürün bitmesi gerekiyor. Güvencenin geleceği, zincirdeki her kuruluşun güvenli olduğunu kanıtlayabileceği sürekli hesap verebilirlikte yatmaktadır.
Güvendiğini kanıtlamak, varsaymak değil
Her kuruluşun güvenliği, en zayıf halkasının gücüyle tanımlanır ve çoğu durumda bu, üçüncü taraf bağlantısı olacaktır. Pek çok işletme anlamasa da saldırganlar bunu zaten anlıyor.
Kendini doğrulayan denetimler ve statik sertifikalar artık tehditlerin ne kadar hızlı geliştiğine dair gerçeği yansıtmıyor. Gerçek dayanıklılık oluşturmanın tek yolu varsayımdan kanıta, güvenden kanıta geçmektir. Sürekli, veriOdaklı doğrulama, tedarik zinciri güvenliği için yeni standart haline gelmelidir.
Ortaklarımızın inandığımız kadar güvenli olduğunu gerçek zamanlı olarak kanıtlayana kadar tedarik zinciri, saldırganların doğrudan ön kapıdan içeri girmelerinin en kolay yolu olmaya devam edecek.
En iyi şifreleme yazılımını sunduk.
Bu makale, günümüz teknoloji endüstrisindeki en iyi ve en parlak beyinleri öne çıkardığımız TechRadarPro’nun Expert Insights kanalının bir parçası olarak üretildi. Burada ifade edilen görüşler yazara aittir ve mutlaka TechRadarPro veya Future plc’ye ait değildir. Katkıda bulunmak istiyorsanız buradan daha fazla bilgi edinin: https://www.techradar.com/news/submit-your-story-to-techradar-pro