چگونه اطمینان حاصل کنیم که SolarWinds بعدی در زنجیره تأمین شما نیست

webiyan فوریه 10, 2021 0 Comments

زمان خواندن: 3 دقیقه

چندی پیش ، شرکت سنتی سرورهای خود را در محل داشت و مجوزهای فیزیکی را خریداری می کرد تا بتواند به کارمندان خود نرم افزار ارائه دهد. امنیت در این محیط به معنای راه حل های قدیمی مانند فایروال های سخت افزاری و خدمات آنتی ویروس بود و مسئولیت محافظت از خود به عهده سازمان بود.

شرکتهای مدرن دیگر مهمترین و تعریف کننده ترین جریانهای کاری خود را در مقرهای آجر و ملات متمرکز نمی کنند ، بلکه بیشتر آنها را بین منابع ابری گسترش دهید ، در سرورهای متعلق به فروشندگان شخص ثالث میزبانی شده و همراه با API ها بخاطر ایجاد یک زنجیره تأمین دیجیتال فعال کار کنند.

استفاده از این مدل اغلب به این معنی است که فروشندگان اطلاعات حساس مشتریان یا حتی مشتریان خود را دارند یا مبادله می کنند 'مشتریان ، بنابراین حتی اگر شرکتهای بیشتری مسئولیت حریم خصوصی داده های جمعی خود را داشته باشند ، هکرها می توانند اهداف مختلفی را انتخاب کنند تا با همان مقدار غارت هدف قرار دهند و آنها را خنثی کنند.

بهره برداری یا هک کردن فروشنده شخص ثالث برای بدست آوردن در مشتریان خود حمله زنجیره تامین نامیده می شود. هنگامی که فروشنده به اندازه کافی محبوب و موفق باشد تا مشتری های بسیار عظیم – مانند دولت ها و سایر شرکت های چند ملیتی صنعت – داشته باشد ، خسارتی که می تواند ناشی از یک حمله زنجیره تامین باشد حیرت آور است. اما اگر شما یک شرکت مدرن هستید که از یک استراتژی چند ابر استفاده می کنید ، چگونه می توانید میزان مواجهه خود را با تأمین کنندگان خود کاهش دهید؟

Great Domino Effect

جهان تأثیر یک حمله بزرگ را مشاهده کرد [19659010] هنگامی که SolarWinds در اواسط دسامبر سال 2020 مورد نقض قرار گرفت. نرم افزار SolarWinds 'Orion ، که در لیست مشتریان خود شامل 500 شرکت Fortune ، ارتش ایالات متحده ، وزارت خزانه داری ایالات متحده و وزارت امنیت داخلی است. از یک درب پشتی در Orion برای جاسوسی در بیش از 33000 مشتری SolarWinds استفاده کرد ، و خسارت به معنای واقعی کلمه غیرممکن است. درست است که افشای داده های دولتی و نظامی نگران کننده است ، اما توجه کمتری به شرکت های کوچکتر معطوف می شود که برای کمک به مدیریت فناوری اطلاعات خود به Orion اعتماد می کنند.

مدل مسئولیت مشترک برای امنیت داده ها مهم است که باید در نظر داشته باشید از رویدادهایی مانند اینها استفاده می شود ، زیرا مانند یک شرایط و ضوابط برای ارزیابی مسئولیت پس از نقض عمل می کند. نقض Orion منجر به یک اثر دومینو شد که در آن حتی شرکت های امنیتی مورد اعتماد مانند FireEye بدون هیچ گونه متوسل شدن در معرض خطر قرار گرفتند ، اما این وقتی که دیگر محیط شبکه وجود ندارد ، این مسئله خراب است. اگر این همان چیزی است که شرکت ها با آن مخالفند ، آیا راه حلی وجود دارد؟

اعتماد: مقاومت کششی در زنجیره های تأمین

توانایی یک تیم داخلی فناوری اطلاعات برای محافظت در برابر حملات زنجیره تامین در واقع بیش از آن است که تصور می شود ، اما این شامل یکپارچه سازی ابزارهای جدید یا اجرای مدل های جدید نیست ، تمام آنچه که لازم دارد شفافیت است. بیشترین مسئولیت اطمینان از قدرت زنجیره تأمین به عهده رده های بالای مدیریت امنیتی است ، مانند CTO یا CISO ، که باید حسابرسی از فروشندگان نرم افزار شرکت انجام دهند.

اولین قدم خوب اعتماد به فروشندگان است اگر با برخی از سختگیرانه ترین اقدامات امنیت داده مانند SOC 2 یا ISO 27001/2 مطابقت داشته باشند ، به اطلاعات شما دسترسی خواهند داشت. کارشناسان اتفاق نظر دارند که یک شرکت می تواند با اطمینان از انطباق صحیح در بین فروشندگان بیشترین میزان مواجهه خود را با حملات زنجیره تامین کاهش دهد ، اما این به معنای مصونیت آنها نیست.

به نظر می رسد مقدماتی است ، اما همیشه به موقع بودن وصله بسیار مهم است و راهی برای کاهش قرار گرفتن در معرض آسیب پذیری های شناخته شده است و در عین حال مراقب ترک های ناشناخته زنجیره تأمین توسط نیاز به دید در اجزای اصلی است. فروشندگان در بهترین موارد "صورتحساب مواد" دارند که در کار خود استفاده می کنند ، که باید شامل جزئیات مربوط به محل تهیه سخت افزار و سایر اجزای اصلی باشد.

ممیزی های زنجیره تأمین کناری

به دلیل حملات زنجیره تامین به دست آوردن برجستگی – و ضرب در وقوع بیش از 78٪ در سال 2019 – فروشندگان بیشتری اطلاعاتی را ارائه می دهند که بتواند امنیت آنها را ثابت کند و آسان است تصور کنید که به زودی یک استاندارد بین المللی برای تولید داده های زنجیره تامین وجود دارد که فروشندگان باید آن را دنبال کنند. تا آن زمان ، روش دیگری برای تقویت زنجیره تامین شما وجود دارد بدون اینکه فروشندگان در مورد شفافیت خود آزار دهند.

برخی از فروشندگان مشغول ساختن راه حل های ابری خودگردان و خودگردان هستند و بنابراین به راحتی قادر به تولید درجه شفافیت زنجیره تأمین مورد نیاز مشتریان هوشمند هستند. دیگران با استخدام سرویس های آزمایش نفوذ خارج ، و در دسترس قرار دادن گزارش ها در اختیار مشتریان بالقوه ، به افزایش اطمینان در زنجیره تأمین کمک می کنند.

در پایان روز ، می توان با تلاش کافی ، از صحت و سقم فروشندگان خود اطمینان حاصل کرد ، اما SolarWinds ثابت کرد که رسیدن به 100٪ اطمینان در کارتها نیست. خوشبختانه ، اوضاع به سرعت در حال تغییر است ، و متخصصان امنیتی امروز در نبرد برای امنیت زنجیره تأمین ناتوان هستند.

  • نقض داده های Capital One: How Can I Can Be Bereded نقض داده های Capital One: بحران چگونه می تواند جلوگیری شده است یکی از بزرگترین هک ها در سال 2019 توسط یکی از کارمندان سابق آمازون که اطلاعات کارت اعتباری را به سرقت برده است ، از جمله شماره حساب های بانکی 80k و شماره های تأمین اجتماعی 140k میلیون ها […] ارسال شده در Cloud ، Network ، News [19659028] Why Enterprises Prize SASE ” width=”500″/> Why Enterprises Prize SASE به آن SASE یا سرویس دسترسی امن لبه گفته می شود – اما شاید فقط فعلاً باشد. وقتی شرکت تحلیلگر بعدی برچسبی را روی آن بگذارد ، نام اختصاری رقابت خواهد کرد ، اما نامه هایی که توصیف […] ارسال شده در Cloud
  • FWaaS از بالا رفتن ابر در شعله های آتش جلوگیری می کند FWaaS مانع از بالا رفتن ابر می شود در Flames فایروال ها به درستی نامگذاری شده اند ، زیرا آنها مانع از گسترش شعله های آتش به خارج از دیوار می شوند و باعث می شوند ساختمان از سقوط یا سوختن تا حد واضحی جلوگیری کند. استعاره درست کار می کند […] ارسال شده در Cloud
  • موسسات حقوقی: یک هدف هکر سود آور موسسات حقوقی: یک هدف هکر سود آور در مقایسه با بانک ها یا شرکت های فناوری ، بسیاری ممکن است فکر کنند که وکلا و شرکت های حقوقی از t در لیست اهداف برتر هکر رتبه بالایی داشته باشد. اما هکرهای باتجربه می دانند که با موفقیت […] ارسال شده در Cloud