چگونه مطمئن شویم SolarWinds بعدی در زنجیره تأمین شما نیست

webiyan فوریه 5, 2021 0 Comments

زمان خواندن: 3 دقیقه

چندی پیش ، شرکت سنتی سرورهای خود را در محل داشت و مجوزهای فیزیکی را خریداری می کرد تا بتواند به کارمندان خود نرم افزار ارائه دهد. امنیت در این محیط به معنای راه حل های قدیمی مانند فایروال های سخت افزاری و خدمات آنتی ویروس بود و مسئولیت محافظت از خود این سازمان بود. آنها را بین منابع ابری گسترش دهید ، در سرورهای متعلق به فروشندگان شخص ثالث میزبانی شده و همراه با API ها بخاطر ایجاد یک زنجیره تأمین دیجیتال فعال کار کنند.

استفاده از این مدل اغلب به این معنی است که فروشندگان اطلاعات حساس مشتریان یا حتی مشتریان خود را دارند یا مبادله می کنند 'مشتریان ، بنابراین حتی اگر شرکتهای بیشتری مسئولیت حریم خصوصی داده های جمعی خود را داشته باشند ، هکرها می توانند اهداف مختلفی را انتخاب کنند تا با همان مقدار غارت هدف قرار دهند و آنها را خنثی کنند.

بهره برداری یا هک کردن فروشنده شخص ثالث برای بدست آوردن در مشتریان خود حمله زنجیره تامین نامیده می شود. هنگامی که فروشنده به اندازه کافی محبوب و موفق باشد تا مشتری های بسیار عظیم – مانند دولت ها و سایر شرکت های چند ملیتی صنعت – داشته باشد ، خسارتی که می تواند ناشی از یک حمله زنجیره تامین باشد حیرت آور است. اما اگر شما یک شرکت مدرن هستید که از یک استراتژی چند ابر استفاده می کنید ، چگونه می توانید میزان مواجهه خود را با تأمین کنندگان خود کاهش دهید؟

Great Domino Effect

جهان تأثیر یک حمله بزرگ را مشاهده کرد [19659010] هنگامی که SolarWinds در اواسط دسامبر سال 2020 مورد نقض قرار گرفت. نرم افزار SolarWinds 'Orion ، که در لیست مشتریان خود شامل 500 شرکت Fortune ، ارتش ایالات متحده ، وزارت خزانه داری ایالات متحده و وزارت امنیت داخلی است.

ماه ها غیرقابل شناسایی ، هکرها از یک درب پشتی در Orion برای جاسوسی در بیش از 33000 مشتری SolarWinds استفاده کرد ، و خسارت به معنای واقعی کلمه غیرممکن است. درست است که افشای داده های دولتی و نظامی نگران کننده است ، اما توجه کمتری به شرکت های کوچکتر معطوف می شود که برای کمک به مدیریت فناوری اطلاعات خود به Orion اعتماد می کنند.

مدل مسئولیت مشترک برای امنیت داده ها مهم است که باید در نظر داشته باشید از حوادثی از این قبیل ، زیرا مانند یک شرایط و ضوابط برای ارزیابی مسئولیت پس از نقض عمل می کند. نقض Orion منجر به یک اثر دومینو شد که در آن حتی شرکت های امنیتی مورد اعتماد مانند FireEye بدون هیچ گونه توسل در معرض دید قرار گرفتند ، اما این وقتی که دیگر محیط شبکه وجود ندارد ، این مسئله خراب است. اگر این همان چیزی است که شرکت ها با آن مخالفند ، آیا راه حلی وجود دارد؟

اعتماد: مقاومت کششی در زنجیره های تأمین

توانایی تیم داخلی فناوری اطلاعات برای محافظت در برابر حملات زنجیره تأمین در واقع بیش از آن است که تصور می شود ، این شامل یکپارچه سازی ابزارهای جدید یا اجرای مدل های جدید نیست ، تمام آنچه که لازم دارد شفافیت است. بیشترین مسئولیت اطمینان از قدرت زنجیره تأمین به عهده رده های بالای مدیریت امنیتی است ، مانند CTO یا CISO ، که باید حسابرسی از فروشندگان نرم افزار شرکت انجام دهند.

اولین قدم خوب اعتماد به فروشندگان است اگر با برخی از سختگیرانه ترین اقدامات امنیت داده مانند SOC 2 یا ISO 27001/2 مطابقت داشته باشند ، به اطلاعات شما دسترسی خواهند داشت. کارشناسان اتفاق نظر دارند که یک شرکت می تواند با اطمینان از انطباق صحیح در بین فروشندگان بیشترین میزان مواجهه خود را با حملات زنجیره تامین کاهش دهد ، اما این به معنای مصونیت آنها نیست.

به نظر می رسد مقدماتی است ، اما همیشه به موقع بودن وصله بسیار مهم است و راهی برای کاهش قرار گرفتن در معرض آسیب پذیری های شناخته شده است و در عین حال مراقب ترک های ناشناخته زنجیره تأمین توسط نیاز به دید در اجزای اصلی است. فروشندگان در بهترین موارد "صورتحساب مواد" دارند که در کار خود استفاده می کنند ، که باید شامل جزئیات مربوط به محل تهیه سخت افزار و سایر اجزای اصلی باشد.

ممیزی های زنجیره تأمین کناری

به دلیل حملات زنجیره تامین به دست آوردن برجستگی – و ضرب در وقوع بیش از 78٪ در سال 2019 – فروشندگان بیشتری اطلاعاتی را ارائه می دهند که می تواند امنیت آنها را ثابت کند ، و آسان است که تصور کنید به زودی یک استاندارد بین المللی برای تولید داده های زنجیره تامین وجود دارد که فروشندگان باید آن را دنبال کنند. تا آن زمان ، روش دیگری برای تقویت زنجیره تامین شما وجود دارد بدون اینکه فروشندگان در مورد شفافیت خود آزار دهند.

برخی از فروشندگان مشغول ساختن راه حل های ابری خودگردان و خودگردان هستند و بنابراین به راحتی قادر به تولید درجه شفافیت زنجیره تأمین مورد نیاز مشتریان هوشمند هستند. دیگران با استخدام سرویس های آزمایش نفوذ خارج ، و در دسترس قرار دادن گزارش ها در اختیار مشتریان بالقوه ، به افزایش اطمینان در زنجیره تأمین کمک می کنند.

در پایان روز ، می توان با تلاش کافی ، از صحت و سقم فروشندگان خود اطمینان حاصل کرد ، اما SolarWinds ثابت کرد که رسیدن به 100٪ اطمینان در کارتها نیست. خوشبختانه ، اوضاع به سرعت در حال تغییر است ، و متخصصان امنیتی امروز در نبرد برای امنیت زنجیره تأمین ناتوان هستند.

  • نقض داده های Capital One: How Can I Can Be Bereded نقض داده های Capital One: بحران چگونه می تواند جلوگیری شده است یکی از بزرگترین هک ها در سال 2019 توسط یکی از کارمندان سابق آمازون که داده های کارت اعتباری را سرقت کرده است ، از جمله 80 هزار شماره حساب بانکی و 140 هزار شماره تأمین اجتماعی که میلیون ها نفر را تحت تأثیر قرار داده است […] ارسال شده در Cloud ، شبکه ، اخبار [19659028] Why Enterprises Prize SASE ” width=”500″/> Why Enterprises Prize SASE این SASE یا سرویس دسترسی امن لبه نامیده می شود – اما شاید فقط در حال حاضر باشد. وقتی شرکت تحلیلگر بعدی برچسبی را روی آن بگذارد ، نام اختصاری رقابت خواهد کرد ، اما نامه هایی که توصیف […] ارسال شده در Cloud
  • FWaaS از بالا رفتن ابر در شعله های آتش جلوگیری می کند FWaaS مانع از بالا رفتن ابر می شود در Flames فایروال ها به درستی نامگذاری شده اند ، زیرا آنها مانع از گسترش شعله های آتش به خارج از دیوار می شوند و باعث می شوند ساختمان از سقوط یا سوختن ترد جلوگیری کند. استعاره درست کار می کند […] ارسال شده در Cloud
  • موسسات حقوقی: یک هدف هکر سود آور موسسات حقوقی: یک هدف هکر سود آور در مقایسه با بانک ها یا شرکت های فن آوری ، بسیاری ممکن است فکر کنند که وکلا و شرکت های حقوقی نمی توانند t در لیست اهداف برتر هکر رتبه بالایی داشته باشد. اما هکرهای باتجربه می دانند که با موفقیت […] ارسال شده در Cloud