جنبه تاریک برون سپاری: چگونه می توان از افزایش حملات زنجیره تامین جلوگیری کرد

این سناریویی است که به طور فزاینده ای آشنا می شود. یک شرکت معتبر که یک سرویس آنلاین محبوب ارائه می‌کند، فاش می‌کند که قربانی نقض داده‌ها شده است. مهاجمان سایبری اسامی مشتریان، شماره تلفن و داده های کارت اعتباری را به سرقت برده اند و برای اصلاح این وضعیت نمی توان کاری انجام داد.

شرکت‌های مطرحی مانند DoorDash، Plex و LastPass همگی اخیرا قربانی حملات زنجیره تامین شخص ثالث شده‌اند، اما مطمئنا آنها تنها نیستند. با توجه به “Treading Water: وضعیت امنیت سایبری و خطر دسترسی از راه دور شخص ثالث” – گزارشی از بیش از 600 متخصص امنیتی ایالات متحده در پنج صنعت منتشر شده توسط موسسه Poneman – حملات شخص ثالث از 44٪ به 49٪ افزایش یافته است. سال گذشته

تعداد واقعی حملات احتمالاً بیشتر است، زیرا فقط 39٪ از پاسخ دهندگان ابراز اطمینان کردند که یک شریک شخص ثالث آنها را از نقض مطلع می کند. برای جلوگیری از افزایش چنین حملاتی، باید نگاهی دقیق به شرایط بازار و عوامل فرهنگی ایجاد کننده این روندها بیندازیم و چرا بسیاری از شرکت‌ها در اجرای راه‌حل‌های مدرن برای رویارویی با این چالش شکست می‌خورند.

هک بهشت: تحول سریع دیجیتال به علاوه برون سپاری

بنابراین، چه چیزی پشت این افزایش در حملات زنجیره تامین وجود دارد؟ در دو کلمه: تحول فرهنگی. بسیاری از صنایعی که قبلاً به‌صورت آفلاین فعالیت می‌کردند، با کمک SaaS و فناوری‌های ابری به عصر دیجیتال بالغ می‌شوند، روندی که به دلیل همه‌گیری و حرکت به سمت کار از راه دور تسریع شده است. با عجله شرکت‌ها برای مدرن‌سازی سیستم‌های خود، مهاجمان مخرب اهداف عالی را می‌بینند.

به این روند بازار دیگری را اضافه کنید: برون سپاری. حدود 20 سال پیش، برای سازمان‌ها بی‌سابقه بود که کنترل یک بخش اصلی از تجارت را برون سپاری کنند، اما از آنجایی که صنایع دستخوش تحول دیجیتالی می‌شوند و همزمان با کمبود نیروی کار مواجه می‌شوند، تا حدی به لطف استعفای بزرگ، تکیه بر آن بسیار رایج‌تر است. فروشندگان و ارائه دهندگان خدمات شخص ثالث.

در حالی که حرکت به سمت استفاده از اشخاص ثالث برای کارایی و مصلحت و استفاده از فناوری ابری برای ارائه ارزش جدید و قانع کننده به بازار، به خودی خود تصمیم یا پیشرفت بدی نیست، اما به این معنی است که سطح حمله برای هکرهای مخرب تقریباً به طور تصاعدی در حال گسترش است.

امروزه، متخصصان فناوری اطلاعات که وظیفه حل نقض‌های شخص ثالث را دارند، داغ داغ هستند. شرکت‌ها با درجات مختلف موفقیت بداهه‌سازی می‌کنند و گاهی اوقات آسیب‌پذیری‌های بیشتری ایجاد می‌کنند در حالی که سعی می‌کنند دیگران را اصلاح کنند. با وجود نیت خوب، اکثر سازمان ها در چند سال اخیر هیچ پیشرفتی در زمینه امنیت شخص ثالث نداشته اند و هزینه زیادی برای آن پرداخت می کنند.

طبق گزارش پونمن، نقض امنیت سایبری آسیب مالی عظیمی بر جای می گذارد: بیش از 9 میلیون دلار برای جبران خسارت. بیشتر شرکت‌ها در مورد تهدیدات زنجیره تامین شخص ثالث پشت فرمان خوابیده‌اند.

امید یک استراتژی نیست: ناتوانی در رسیدگی به تهدیدات امنیتی شخص ثالث

بخش‌های فناوری اطلاعات برای مقابله با تهدیدات شخص ثالث نیاز به استراتژی‌های امنیتی پیچیده‌تری دارند، اما بسیاری از شرکت‌ها روی ابزارها یا کارکنان مورد نیاز برای ایمن کردن دسترسی از راه دور و هویت شخص ثالث سرمایه‌گذاری نکرده‌اند.

بر اساس مطالعه پونمن، بیش از نیمی از سازمان ها تا 20 درصد از بودجه خود را صرف امنیت سایبری می کنند، با این حال 35 درصد هنوز بودجه را مانعی برای امنیت قوی می دانند. شرکت ها همچنین در برابر سرمایه گذاری در راه حل های تکنولوژیکی مناسب مقاومت می کنند. به عنوان مثال، 64 درصد از سازمان‌ها همچنان به روش‌های نظارت دستی متکی هستند و به طور متوسط ​​هفت ساعت در هفته برای نظارت بر دسترسی شخص ثالث هزینه می‌کنند.

علاوه بر این، 48 درصد از پاسخ دهندگان در مطالعه پونمن نیز فاقد کارکنان ماهر مورد نیاز برای حمایت از راه حل های تکنولوژیکی هستند. همبستگی آشکاری بین تعداد کارکنان با تجربه که یک شرکت دارد و وضعیت امنیتی آن وجود دارد. برای موفقیت، هم به فناوری مناسب و هم به پرسنلی نیاز دارید تا از آن به طور موثر استفاده کنید.

امید، اعتماد کور راهبرد نیست

در کنار تاخیر در سرمایه گذاری، برنامه های امنیت سایبری بسیاری از سازمان ها عقب افتاده است. اقدام کافی برای ایمن کردن دسترسی از راه دور انجام نمی شود، که منجر به دسترسی افراد ثالث به شبکه های داخلی با نظارت صفر می شود.

70 درصد از سازمان‌های مورد بررسی گزارش کردند که یک نقض شخص ثالث به دلیل اعطای دسترسی بیش از حد به وجود آمده است. اما، نیمی از آنها اصلاً دسترسی را نظارت نمی کنند – حتی برای داده های حساس و محرمانه – و تنها 36٪ از همه طرف ها به اسناد دسترسی دارند. آنها به سادگی رویکرد “امیدوارم این اتفاق نیفتد” را در پیش می گیرند و برای مدیریت ریسک به قراردادهایی با فروشندگان و تامین کنندگان تکیه می کنند. در واقع، بیشتر سازمان‌ها می‌گویند که به اشخاص ثالث اطلاعات خود را تنها بر اساس شهرت تجاری اعتماد می‌کنند.

با این حال، امید و اعتماد کورکورانه استراتژی نیستند. بسیاری از بازیگران بد یک بازی طولانی انجام می دهند. فقط به این دلیل که فروشندگان در حال حاضر سیستم های شما را خراب نمی کنند به این معنی نیست که هکرها در فعالیت های مخرب ناشناخته، جمع آوری اطلاعات و مطالعه جریان های کاری برای مدتی بعد درگیر نیستند.

همه شرکت ها تهدیدات را نادیده نگرفته اند. صنعت مراقبت های بهداشتی به دلیل نیاز به رعایت ممیزی توسط نهادهای نظارتی، در حل مسائل امنیتی شخص ثالث به پیشرو تبدیل شده است. متأسفانه، فرآیند حسابرسی که در مراقبت های بهداشتی نشات گرفته و توسط سایر صنایع اتخاذ شده است، منجر به بهبود گسترده ای نشده است.

بسیاری از دپارتمان‌های فناوری اطلاعات در مواجهه با چالش‌های مداوم حل نقض‌های امنیتی شخص ثالث، یا هدف دست یافتنی‌تر گذراندن ممیزی‌ها، بر پیروزی آسان تمرکز می‌کنند. آنها یک قدم عقب تر از هکرها باقی می مانند و به جای جلوگیری از هکرها، سعی می کنند پس از هکرها را پاکسازی کنند.

از رسیدن به پیشروی تا رهبری مجموعه: پنج گام استراتژیک برای جلوگیری از تهدیدات شخص ثالث

با وجود پیش‌بینی نگران‌کننده، خبرهای خوبی وجود دارد. راه هایی برای کاهش آسیب حملات شخص ثالث و جلوگیری از آنها وجود دارد. تشخیص نیاز به مدیریت صحیح اولین قدم است. به جای امید به بهترین ها، شرکت ها باید متعهد به تحقیق و سرمایه گذاری اساسی در ابزارها و منابع باشند. آنها می توانند با اجرای برخی گام های استراتژیک اساسی در جهت جلوگیری از تهدیدات زنجیره تامین شروع کنند.

• موجودی تمام اشخاص ثالث با دسترسی به شبکه ها را تهیه کنید. سطوح خطر برای اطلاعات حساس را تعریف و رتبه بندی کنید و بر مستندسازی تمام دسترسی های شبکه اصرار کنید. نیمی از شرکت‌های امروزی دید کافی از افراد و فرآیندهای تجاری ندارند، به این معنی که سازمان‌ها از سطح دسترسی و مجوزها در یک سیستم معین اطلاعی ندارند. یک قانون اساسی امنیت این است که شما نمی توانید از چیزی که نمی دانید محافظت کنید.
• با آگاهی از اینکه چه کسی به چه اطلاعاتی دسترسی دارد، مجوزها را ارزیابی کنید، و سپس آنچه لازم است را ارائه و لغو کنید. دسترسی باز را با کنترل های دسترسی مبتنی بر اعتماد صفر و روش های نظارت دقیق جایگزین کنید. کاهش پیچیدگی زیرساخت ها و بهبود حاکمیت داخلی.
• همانطور که تصمیمات سختی در مورد اعطای دسترسی می گیرید، هم ریسک و هم ارزش ارائه شده توسط هر تامین کننده و فروشنده را در نظر بگیرید. دسترسی ایمن برای مهم ترین تامین کنندگان خود را در اولویت قرار دهید، و در مسیر خود به سمت اشخاص ثالث کمتر حیاتی بروید.
• توجه داشته باشید که هنگام محدود کردن دسترسی به تأمین‌کنندگان و فروشندگان، ممکن است برخی از آنها با مخالفت مواجه شوند، زیرا در ابتدا احساس می‌کنند که به اندازه قبل مورد اعتماد نیستند. اطمینان از اینکه تامین کنندگان مهم احساس احترام می کنند و در عین حال تغییر وضعیت موجود ممکن است نوعی رقص یا مذاکره باشد. حتی با رعایت تدابیر امنیتی سخت‌گیرانه‌تر، می‌توان احزاب را از منظر تجاری احساس یکپارچگی کرد.
• یافتن منابع و کارکنان برای ایجاد این تغییرات بسیار مهم است. برخی از شرکت ها ممکن است تصمیم بگیرند که IT را به حقوق بودجه برای استخدام های جدید تخصیص دهند. اگر از پایه شروع کنید، شخصی را برای نظارت بر مدیریت شخص ثالث تعیین کنید و به آن شخص قدرت اجرای برنامه مدیریت ریسک دسترسی شخص ثالث را بدهید.

هر اقدامی که یک سازمان تصمیم بگیرد انجام دهد، شروع هرچه سریعتر آن ضروری است. شرکت ها می توانند انتظار داشته باشند چندین ماه تا یک سال منتظر بمانند تا نتایج قابل اندازه گیری را ببینند. با این حال، با سرمایه گذاری در زمان، انرژی و منابع، هنوز دیر نشده است. سازمان های هوشمند و فعال می توانند ارتباطات مخاطره آمیز با اشخاص ثالث را به روابط سالم و ایمن با فروشندگان و تامین کنندگان قابل اعتماد تبدیل کنند. آنها می توانند بازی کردن را متوقف کنند و شروع به رهبری گروه کنند.

جوئل برلسون-دیویس معاون مهندسی سایبری در سراسر جهان در Imprivata است.