Os ataques de terceiros são uma das tendências mais proeminentes no cenário de ameaças, não mostrando sinais de desaceleração, como demonstrado por incidentes cibernéticos recentes de alto perfil no setor de varejo.
Os ataques de terceiros são muito atraentes para os cibercriminosos: os atores de ameaças aumentam drasticamente suas chances de sucesso e o retorno do investimento, explorando as redes de fornecedores de suas vítimas ou a tecnologia de código aberto no qual inúmeras organizações dependem.
Um ataque da cadeia de suprimentos é um ataque com várias vítimas, com custos exponencialmente crescentes para os que estão dentro da cadeia de suprimentos, além de um risco financeiro, operacional e reputação significativo para seus clientes.
Em poucas palavras, na era da digitalização, é impossível eliminar a automação de TI e a terceirização, é impossível eliminar.
Katherine Kearns, chefe de serviços cibernéticos proativos, EMEA, na S-RM, e Peter Sweetbaum, CEO da EthixBase360.
Cadeias de suprimentos globais, de várias camadas e mais complexas
Com as cadeias de suprimentos se tornando globais, de várias camadas e mais complexas do que nunca, os riscos de terceiros são cada vez mais difíceis de entender.
Os ataques da cadeia de suprimentos podem ser extremamente sofisticados, difíceis de detectar e difíceis de prevenir. Às vezes, os utilitários mais inócuos podem ser usados para iniciar um ataque em larga escala. Componentes de software vulneráveis em que as infraestruturas modernas de TI são difíceis de identificar e proteger.
Então, o que as organizações podem fazer para melhorar suas defesas contra o risco de terceiros? Descrevemos três áreas que as organizações podem tomar para criar resiliência significativa contra o risco cibernético de terceiros:
1. Identifique e mitigar potenciais vulnerabilidades em toda a cadeia de suprimentos
Compreender o risco de terceiros é um passo significativo em direção à sua redução. Isso envolve várias etapas práticas, como:
i) Defina a responsabilidade pela propriedade da cadeia de suprimentos Ciberosidade de gerenciamento de riscos. Esse papel geralmente cai entre dois fezes – as equipes de segurança interna que se concentram principalmente na proteção do cliente, enquanto os programas de conformidade e gerenciamento de riscos de terceiros que possuem responsabilidade por risco e conduta de terceiros, mas não se sentem confiantes em abordar riscos cibernéticos, dado seu viés técnico.
ii) Identifique, inventário e categorize terceiros, para determinar os relacionamentos mais críticos do fornecedor. Do ponto de vista da segurança cibernética, é importante identificar fornecedores que tenham acesso aos seus dados, acesso ao seu ambiente, aqueles que gerenciam componentes do seu gerenciamento de TI, aqueles que fornecem software crítico e – por último, mas não menos importante – os fornecedores que têm um impacto operacional em seus negócios.
Essa é uma tarefa desafiadora, especialmente para grandes organizações com cadeias de suprimentos complexas, e geralmente exige que as equipes de segurança trabalhem em conjunto com compras, finanças e outras equipes de negócios para identificar todo o universo de relacionamentos de fornecedores, e depois filtram os que estão fora de escopo de uma perspectiva de segurança cibernética.
Avalie a exposição ao risco, entendendo os controles de segurança que os fornecedores implantam em seus bens ou as práticas de segurança que seguem durante o processo de desenvolvimento de software e destacam possíveis lacunas. É importante seguir isso com o acordo sobre as ações de remediação aceitáveis para os dois lados e trabalhar para o fechamento satisfatório. A realidade é que os fornecedores nem sempre são capazes de implementar os controles de segurança que seus clientes exigem.
Às vezes, isso leva a organizações de clientes que implementam medidas adicionais de resiliência internamente-geralmente dependentes da força do relacionamento e da natureza das lacunas de segurança.
Afaste-se das avaliações pontuais para o monitoramento contínuo, utilizando a automação e a inteligência de código aberto para enriquecer o processo de avaliação de controle. Na prática, isso pode envolver a identificação de superfícies de ataque dos fornecedores e ativos vulneráveis voltados para o exterior, monitorando as mudanças de propriedade, identificando indicadores de vazamentos de dados e incidentes que afetam terceiros críticos e monitoramento para novos relacionamentos de subcontratados.
2. Prepare -se para cenários de compromisso da cadeia de suprimentos
Lamentavelmente, mesmo organizações maduras com programas de gerenciamento de riscos de terceiros desenvolvidos são comprometidos.
Os ataques da cadeia de suprimentos levaram a algumas das manchetes mais impressionantes sobre hacks cibernéticos nos últimos anos e estão se tornando cada vez mais o método de escolha para os criminosos que desejam atingir o maior número possível de vítimas, bem como para atores sofisticados que desejam permanecer se desviados enquanto acessam dados sensíveis.
A preparação e a resiliência estão rapidamente se tornando ferramentas essenciais no saco de organizações de kits que confiam em terceiros críticos.
Na prática, as medidas que as organizações podem introduzir para se preparar para o compromisso de terceiros incluem:
i) incluindo fornecedores em seus planos de continuidade de negócios. Para processos de negócios importantes que dependem de fornecedores críticos ou tecnologia de terceiros, compreenda o impacto dos negócios, os objetivos de tempo de recuperação de dados e objetivos, soluções alternativas e opções de recuperação disponíveis para continuar operando durante uma interrupção.
ii) Exercitar cenários de ataque cibernético com terceiros críticos, a fim de desenvolver memória muscular e maneiras eficazes de trabalhar durante um ataque cibernético que pode afetar o terceiro e o cliente. Verifique se os dois lados têm acesso aos pontos de contato certos-e seus adjuntos-para relatar um incidente e trabalhar juntos na recuperação em uma situação de alta pressão.
iii) introduzindo redundâncias em toda a cadeia de suprimentos para eliminar pontos únicos de falha. Esta é uma tarefa difícil, especialmente em relação aos fornecedores de legado que fornecem serviços ou produtos exclusivos. No entanto, entender suas opções e substitutos disponíveis reduzirá a dependência dos fornecedores e fornecerá acesso a soluções alternativas durante eventos disruptivos, como um compromisso da cadeia de suprimentos.
3. Prenda sua própria propriedade (monitore o acesso de terceiros, obrigações contratuais)
Proteger sua própria propriedade é tão importante quanto reduzir a exposição ao risco de terceiros. Fortalecer suas defesas internas para mitigar os danos se um terceiro for comprometido envolve várias medidas importantes de boas práticas, incluindo, entre outros,:
i) Monitoramento de segurança aprimorado da atividade do usuário de terceiros em sua rede,
ii) Revisão regular das permissões de acesso concedidas a usuários de terceiros em toda a sua rede, incluindo rescisão oportuna de que abandonam,
iii) Identificação contínua e monitoramento de sua própria superfície de ataque externa, incluindo novos ativos voltados para a Internet e métodos de acesso remoto vulneráveis,
iv) Treinamento de segurança dos funcionários e conscientização sobre engenharia social, incluindo a implementação de procedimentos adicionais de verificação de segurança para impedir a representação de funcionários e terceiros.
Verificação de segurança de usuários de terceiros com acesso ao seu ambiente ou dados
À medida que as ameaças de terceiros evoluem e se tornam mais proeminentes, as organizações devem ter uma visão clara de quem estão conectadas e os riscos que essas conexões representam. Uma abordagem de ponta a ponta da due diligence cibernética, abrangendo as capacidades de avaliação, monitoramento e resposta a ameaças em suas cadeias de suprimentos antes que os danos sejam causados.
O risco de terceiros continuará sendo um desafio para muitas organizações nos próximos anos, especialmente à medida que mais grupos de atores de ameaças começam a explorar o compromisso da cadeia de suprimentos como uma tática atraente, oferecendo altas recompensas com resistência relativamente baixa.
Os reguladores de todos os setores estão começando a prestar maior atenção à segurança da cadeia de suprimentos. Estruturas como Dora, NIS2 e a Lei de Resiliência Cibernética refletem as preocupações crescentes de que a segurança da cadeia de suprimentos deve ser um componente essencial da estratégia digital. Aqueles que lideram esse assunto serão melhor posicionados para navegar em compromisso da cadeia de suprimentos.
Listamos o melhor software de gerenciamento de identidade.
Este artigo foi produzido como parte do canal especialista da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes do setor de tecnologia hoje. As opiniões expressas aqui são as do autor e não são necessariamente as do TechRadarpro ou do Future Plc. Se você estiver interessado em contribuir, descubra mais aqui:
Fique conectado