07.01.2022

Угрозы безопасности цепочки поставок: что нужно знать малому и среднему бизнесу?

Bitdefender > Новости > Угрозы безопасности цепочки поставок: что нужно знать малому и среднему бизнесу?

Малые и средние предприятия могут не полагаться на сложные цепочки поставок, которыми управляют глобальные предприятия. Программы-вымогатели могут представлять серьезную угрозу с точки зрения кибербезопасности цепочки поставок. Раньше такие атаки были нацелены исключительно на одну организацию. Теперь злоумышленники также атакуют компании с крупными партнерскими экосистемами.

Например, программа-вымогатель, такая как REvil, проникала в одну компанию и быстро распространялась среди многих ее корпоративных клиентов, каждый из которых имел свои собственные поставки и других партнеров и так далее. Легко увидеть, насколько разрушительным может быть воздействие одной атаки.

Основные уязвимости системы безопасности цепочки поставок

В случае программ-вымогателей цепочки поставок обычно имеют несколько уязвимостей, которые делают их уязвимыми для таких угроз. Один из них – использование сторонних поставщиков. Это могут быть поставщики материалов и ИТ-услуг, все с разным уровнем зрелости и навыков в области кибербезопасности.

Еще одна уязвимость – это растущее использование облака для связи с партнерами. Облако предлагает потенциальные преимущества, такие как повышенная гибкость и экономия затрат. Но это также может создать проблемы с точки зрения видимости и доступа, что может сделать компании более уязвимыми. Компании по большей части не могут контролировать методы кибербезопасности всех своих партнеров. Они могут предписывать определенные требования в контрактах с поставщиками, но часто это сводится к уверенности в том, что партнеры делают все возможное, чтобы обеспечить безопасность сетей, систем и данных.

Национальный институт стандартов и технологий (NIST) отметил, что риски цепочки поставок в области кибербезопасности охватывают значительную территорию. Среди рисков:

  • Сторонние поставщики – от услуг по уборке до разработки программного обеспечения с физическим или виртуальным доступом к информационным системам, программному коду или интеллектуальной собственности.
  • Плохая практика информационной безопасности со стороны поставщиков нижнего уровня.
  • Взломанное программное обеспечение или оборудование, приобретенное у поставщиков.
  • Уязвимости программного обеспечения в системе управления цепочкой поставок или в системах поставщиков.
  • Поддельное оборудование или оборудование со встроенным вредоносным ПО.
  • Сторонние хранилища данных или агрегаторы данных.

Неудивительно, что спрос на безопасность цепочки поставок растет. В отчете Research and Markets за август 2021 года прогнозируется, что глобальный рынок безопасности цепочек поставок вырастет с 903 миллионов долларов в 2021 году до 1,22 миллиарда долларов к 2026 году.

Лучшие практики кибербезопасности цепочки поставок

Согласно рекомендациям NIST, кибербезопасность в цепочке поставок нельзя рассматривать только как проблему ИТ. В институте отметили:

«Риски в цепочке поставок в киберпространстве связаны с поиском источников, управлением поставщиками, непрерывностью и качеством цепочки поставок, безопасностью транспортировки и многими другими функциями предприятия, и для их решения требуются скоординированные усилия.

Системы ИТ-безопасности не защитят критически важную информацию и интеллектуальную собственность, если сотрудники по всей цепочке поставок не будут использовать безопасные методы кибербезопасности.

Компаниям необходимо разработать свою защиту, основываясь на принципе, что в какой-то момент их системы будут взломаны».

Но как уменьшить вероятность использования информации, к которой злоумышленник получил доступ, и как восстановиться после атаки? По словам NIST, предприятиям следует задать несколько вопросов о своих основных поставщиках, чтобы снизить риски безопасности цепочки поставок. Вот некоторые примеры:

  1. Документирован, воспроизводим и измерим ли процесс проектирования программного / аппаратного обеспечения поставщика?
  2. Учитывается ли уменьшение известных уязвимостей в дизайне и архитектуре продукта, методах защиты во время выполнения и обзоре кода?
  3. Как поставщик остается в курсе возникающих уязвимостей и каковы возможности поставщика по устранению уязвимостей «нулевого дня»?
  4. Какие средства контроля используются для управления и мониторинга производственных процессов?
  5. Какие уровни защиты и обнаружения вредоносных программ выполняются, и какие шаги предпринимаются для защиты продуктов от несанкционированного доступа?
  6. Какие виды проверок биографии сотрудников проводятся и как часто?
  7. Насколько безопасен процесс распространения?

По словам NIST, компании могут использовать другие передовые методы, которые помогут им управлять рисками цепочки поставок в киберпространстве. Сюда входит:

  • включение требований кибербезопасности во все запросы предложений и контракты;
  • работа напрямую с партнерами для устранения любых уязвимостей и пробелов в безопасности;
  • получение исходного кода на все приобретенное программное обеспечение;
  • создание программ отслеживания и отслеживания деталей, компонентов и систем;
  • и введение жесткого контроля доступа со стороны поставщиков услуг.

Поставщики управляемых услуг

Вероятно, что у многих малых и средних предприятий не будет ресурсов, необходимых для обеспечения безопасности всей цепочки поставок в одиночку. В таких случаях может оказаться полезным опытный поставщик услуг управляемой безопасности, у которого есть знания в вопросах цепочки поставок. Компании могут использовать этих поставщиков, чтобы гарантировать, что они работают в максимально безопасной цепочке поставок и наилучшим образом используют инструменты, процессы и людей для обеспечения безопасности цепочки.

Узнайте больше о том, как Bitdefender может помочь вам выбрать лучшие решения для обеспечения безопасности.

Новости
21.01.2022
Тактический анализ угроз: как защитить данные от сложных атак
19.01.2022
Атака программ-вымогателей заморозила тысячи образовательных веб-сайтов Finalsite
17.01.2022
Что такое SASE?