Mutt
Professional
- Messages
- 1,458
- Reaction score
- 1,280
- Points
- 113
Слабым звеном в безопасности вашего предприятия могут быть партнеры и поставщики. Вот как понять и уменьшить этот риск.
Что такое атака на цепочку поставок?
Атака цепочки поставок, также называемая цепочкой создания стоимости или сторонней атакой, происходит, когда кто-то проникает в вашу систему через внешнего партнера или поставщика, имеющего доступ к вашим системам и данным. Это кардинально изменило поверхность атаки типичного предприятия за последние несколько лет: больше поставщиков и поставщиков услуг обращаются к конфиденциальным данным, чем когда-либо прежде.
Риски, связанные с атакой на цепочку поставок, как никогда высоки из-за новых типов атак, растущей осведомленности общественности об угрозах и усиления надзора со стороны регулирующих органов. Между тем, злоумышленники имеют в своем распоряжении больше ресурсов и инструментов, чем когда-либо прежде, создавая идеальный шторм. Недавняя атака SolarWinds - яркий тому пример.
Атака SolarWinds подчеркивает риск цепочки поставок
Новости о прошлогодней атаке на государство против 18 000 клиентов производителя сетевых инструментов SolarWinds продолжают ухудшаться. Согласно недавнему отчету New York Times, атаки SolarWinds, приписываемые России, проникли не только в «несколько десятков» государственных и корпоративных сетей, как предполагалось вначале. Пострадало до 250 организаций, и злоумышленники воспользовались преимуществами нескольких уровней цепочки поставок.
«Это нарушение цепочки доверия», - говорит Стив Залевски, заместитель директора по информационной безопасности Levi Strauss. «Это большие проблемы со всем этим сторонним оборудованием», - говорит он. «Мы больше не держим его дома. Нам приходится полагаться на сторонние способы установить это доверие, а для этого нет национального или международного способа».
Проблема постоянно усугубляется, поскольку предприятия все больше и больше полагаются на внешних поставщиков, говорит Залевски, добавляя, что пора взглянуть на всю экосистему индустрии программного обеспечения, чтобы решить эту проблему. «Чтобы решить эту проблему полностью, нам нужна международная цепочка доверия, такая как глобальная система PKI, - говорит он, - где мы все сможем согласовать глобальный набор инструментов и практик».
К сожалению, практического способа сделать это нет. «Нам нужна правовая, нормативная, коллективная защита», - говорит Залевски. «Но для этого потребуются годы, годы и годы».
По оценке рейтингового агентства Bitsight, атака SolarWinds может стоить киберстраховым компаниям до 90 миллионов долларов. Это только потому, что государственные учреждения не покупают киберстрахование. Кроме того, злоумышленники старались как можно меньше скрывать информацию, чтобы украсть информацию, чтобы не нанести серьезного ущерба системам.
Другая атака на цепочку поставок в 2017 году, также приписываемая России, скомпрометировала украинское бухгалтерское программное обеспечение в рамках атаки, нацеленной на инфраструктуру страны, но вредоносное ПО быстро распространилось на другие страны. NotPetya нанес ущерб на сумму более 10 миллиардов долларов и нарушил работу транснациональных корпораций, таких как Maersk, FedEx и Merck.
Атаки на цепочки поставок привлекательны для хакеров, потому что, когда обычно используемое программное обеспечение скомпрометировано, злоумышленники потенциально могут получить доступ ко всем предприятиям, которые используют это программное обеспечение.
Все поставщики технологий уязвимы для атак на цепочки поставок
Любая компания, производящая программное обеспечение или оборудование для других организаций, является потенциальной целью злоумышленников. Субъекты национального государства обладают обширными ресурсами и навыками, чтобы проникнуть даже в самые заботящиеся о безопасности фирмы.
Целями могут быть даже поставщики средств безопасности. В случае SolarWinds, например, одной из наиболее известных взломанных компаний была FireEye, поставщик средств кибербезопасности. FireEye заявляет, что злоумышленники проникли не в клиентские системы, а только в инструменты проникновения, используемые для тестирования безопасности. Тот факт, что по нему вообще попали, вызывает беспокойство.
Другие поставщики, пострадавшие от атак Solar Winds, включают Microsoft и Malwarebytes, еще одного поставщика средств безопасности. «Учитывая цепочки поставок характер SolarWinds атаки, а в излишней осторожности, мы немедленно провели тщательное расследование всех исходного кода, сборки и доставки процессов Malwarebytes, включая реверс-инжиниринг наше собственное программное обеспечение,» компания сказал генеральный директор Марцин Kleczynski в сообщение от 19 января.
В январе поставщик защиты электронной почты Mimecast объявил, что он также подвергся атаке изощренного злоумышленника, и были сообщения о том, что это та же группа, что и та, что стояла за взломом SolarWinds.
Эти атаки показывают, что любой поставщик уязвим и может быть скомпрометирован. Фактически, этой осенью поставщик средств безопасности Immuniweb сообщил, что 97% из 400 ведущих мировых компаний в области кибербезопасности имели утечки данных или другие инциденты безопасности, обнаруженные в темной сети, и 91 компания имела уязвимости безопасности веб-сайтов, которые можно было использовать.
Подобные атаки появились не в последнее время. В 2011 году RSA Security признала, что ее токены SecurID были взломаны. В результате был атакован один из ее клиентов, Lockheed Martin.
В дополнение к атакам, подобным SolarWinds, которые включают компрометацию поставщиков коммерческого программного обеспечения, существуют два других типа атак на цепочки поставок - атаки на проекты программного обеспечения с открытым исходным кодом и случаи, когда правительства напрямую вмешиваются в продукты поставщиков, созданных в их юрисдикциях.
Угроза цепочки поставок с открытым исходным кодом
Коммерческое программное обеспечение - не единственная цель атак на цепочки поставок. Согласно отчету Sonatype о состоянии цепочки поставок программного обеспечения за 2020 год, атаки на цепочки поставок, нацеленные на проекты программного обеспечения с открытым исходным кодом, являются серьезной проблемой для предприятий, поскольку 90% всех приложений содержат открытый код, а 11% из них имеют известные уязвимости.
Например, во время взлома Equifax в 2017 году, которое, по словам компании, обошлось почти в 2 миллиарда долларов, злоумышленники воспользовались незащищенной уязвимостью Apache Struts. Двадцать один процент компаний заявили, что они испытали нарушение, связанное с открытым исходным кодом, за предыдущие 12 месяцев.
Злоумышленникам не нужно ждать, пока уязвимость волшебным образом не появится в программном обеспечении с открытым исходным кодом. За последние несколько лет они начали сознательно ставить под угрозу процесс разработки или распространения открытого исходного кода, и это работает. Согласно исследованию Sonatype, количество таких атак нового поколения увеличилось на 430% по сравнению с предыдущим годом.
Угроза привлечения иностранных поставщиков
Зачем взламывать компанию-разработчика программного обеспечения, если вы можете просто войти и приказать им установить вредоносное ПО в их продукты? Это не лучший вариант для России, поскольку она не совсем известна как экспортер технологий. Но Китай есть.
«Взломанная электроника на военных, правительственных и критически важных гражданских платформах США дает Китаю потенциальные лазейки для компрометации этих систем», - заявляют сенаторы США Майк Крапо (штат Айдахо) и Марк Уорнер (штат Вирджиния) в заявлении, в котором объявляется двухпартийный закон о MICROCHIPS от 2019 года.
По словам Стива Уилсона, вице-президента и главного аналитика Constellation Research, почти каждая государственная организация и частная компания в той или иной степени знакомы с технологиями, происходящими из Китая или других стран с низкими ценами.
Как защититься от атак на цепочку поставок
Итак, что могут сделать предприятия? Некоторые нормативно-правовые базы, например, в финансовом секторе или здравоохранении, уже предусматривают стороннее тестирование рисков или имеют некоторые стандарты, которым должны соответствовать поставщики. «В PCI есть компонент качества программного обеспечения для проверки качества компонентов мобильных платежей», - говорит Уилсон, имея в виду Стандарт безопасности данных индустрии платежных карт (PCI-DSS).
Существуют также более общие структуры, такие как Модель зрелости возможностей (CMM), ISO 9001, Common Criteria, SOC 2. «Я большой поклонник аудитов CMM, - говорит Уилсон. «С другой стороны, я признаю цену. Единственные люди, которые до недавнего времени настаивали на Общих критериях, - это привидения».
Также существует аккредитация FiPS-140 для криптографических модулей. «Это действительно дорого, - говорит Уилсон. «Это миллион долларов, чтобы получить приложение, сертифицированное по стандарту FIPS-140, и если вы не продаете Blackberry федеральному правительству, вы этого не сделаете».
Предприятия слишком привыкли к дешевому и быстрому программному обеспечению. «Мы должны признать, что мы пишем дешевое программное обеспечение в течение десятилетий, и цыплята возвращаются домой на ночлег», - говорит Уилсон.
Однако, если предприятия начнут требовать большего тестирования или регулирующие органы вмешаются и потребуют более эффективных мер контроля, тогда затраты на аудит, вероятно, снизятся. «Если люди начнут вкладывать больше средств в тестирование, бизнес по тестированию получит больше доходов и больше конкуренции», - говорит Уилсон. Также будет больше инноваций, например, в автоматизированном тестировании.
По словам Залевски, в Levi Strauss компания проверяет своих поставщиков программного обеспечения. «Мы требуем, чтобы они имели очевидные и проверяемые доказательства того, что они внедрили структуру безопасности и могут продемонстрировать соответствие этой структуре», - говорит он. Он добавляет, что Леви Страусс не диктует, каким конкретным поставщикам фреймворков следует следовать. «Но мы хотим, чтобы вы записали свои меры безопасности и методы работы, чтобы мы могли убедиться, что они совместимы с нашими. Вот как мы управляем рисками, и это лучшее, что вы можете сделать».
Центры обработки данных не должны прекращать установку исправлений. Фактически, процесс управления исправлениями Леви Страусса означал, что исправления для программного обеспечения SolarWinds были установлены до появления новостей, защищая компанию от любых других злоумышленников, которые могли захотеть сесть в поезд SolarWinds.
Однако он признал, что системы компании не смогли отловить вредоносное ПО внутри обновления SolarWinds. Конечно, никто этого не сделал - FireEye и Microsoft тоже его не заметили. Проблема, по словам Залевски, заключается в том, что сложно сканировать обновления на предмет подозрительного поведения, поскольку обновление, по определению, предназначено для изменения поведения программного обеспечения.
«Это просто природа того, как работает программное обеспечение», - говорит Залевски. «Проблема в экосистеме и в том, как она устроена. Плохие парни ищут пробелы и используют их ».
«Атаки на цепочки поставок по-прежнему встречаются намного реже, чем атаки на известные уязвимости», - говорит Шимон Орен, вице-президент по исследованиям в компании Deep Instinct, занимающейся безопасностью. «Риск незащищенной уязвимости или обновления безопасности, которое не было реализовано в значительной степени, я бы сказал, значительно перевешивает риск атаки на цепочку поставок». Согласно отчету IBM « Стоимость утечки данных за 2020 год», уязвимости в стороннем программном обеспечении являются основной причиной 16% всех нарушений.
Вместо того, чтобы откладывать исправления, Орен предлагает предприятиям спрашивать своих поставщиков, какой у них механизм для защиты своего программного обеспечения от взлома. «Какая у них позиция безопасности? Какие механизмы проверки кода они используют сегодня? »
К сожалению, по его словам, не существует набора стандартов, специально посвященных безопасности процесса разработки программного обеспечения. «Я не думаю, что есть что-то, что говорит о безопасности вашего кода».
Одной из организаций, работающих над устранением этого недостатка, является Консорциум по качеству информации и программного обеспечения, группа с особыми интересами, входящая в группу по технологическим стандартам Object Management Group. Одним из стандартов, над которым работает организация, является, например, программный эквивалент ведомости материалов. Это позволит корпоративным клиентам узнать, какие компоненты используются в используемом ими программном обеспечении, и есть ли у каких-либо из этих компонентов известные проблемы с безопасностью.
«Сейчас он в процессе, и мы ожидаем, что он будет завершен весной этого года», - говорит исполнительный директор Билл Кертис. По его словам, в этом участвуют Microsoft, Linux Foundation и другие крупные игроки - всего около 30 компаний.
Пробелы в оценке рисков цепочки поставок
По словам адвоката Иеуана Джолли, сопредседателя практики инноваций в области конфиденциальности, безопасности и данных в Loeb & Loeb, проведение надлежащей комплексной проверки не менее важно или даже более важно, чем контракт, который предприятие может заключить со своим поставщиком. Если поставщик выйдет из бизнеса в результате нарушения, которое он вызвал, его клиенты не смогут взыскать убытки. Если они действительно возмещают убытки, «это никогда не будет адекватным средством защиты репутации компании, - говорит он.
Согласно недавнему опросу профессионалов в области управления рисками, проведенному Mastercard RiskRecon и Cyentia Institute, 79% организаций в настоящее время имеют официальные программы для управления рисками третьих сторон. Наиболее распространенными методами оценки рисков являются анкеты, которые используют 84% компаний, и обзоры документации, используемые 69%. Половина компаний используют удаленную оценку, 42% используют рейтинги кибербезопасности и 34% используют оценки безопасности на месте.
Несмотря на популярность анкет, только 34% специалистов по рискам говорят, что верят ответам поставщиков. Однако при обнаружении проблемы 81% компаний редко требуют исправления, и только 14% полностью уверены, что поставщики выполняют их требования безопасности.
По словам Келли Уайт, генерального директора и соучредителя RiskRecon, после атаки SolarWinds организациям, в частности, необходимо обратить внимание на своих поставщиков программного обеспечения, особенно тех, у которых есть программное обеспечение, имеющее привилегированный доступ к активам компании. Это включает расширение критериев оценки, чтобы включить целостность процесса разработки программного обеспечения, говорит он, «чтобы убедиться, что средства контроля достаточны для предотвращения внедрения вредоносного кода».
По словам Уайта, настало время удвоить минимальные привилегии. «Когда я работал директором по информационной безопасности в крупном финансовом учреждении, любое программное обеспечение, которое требовало связи с Интернетом, было ограничено в разрешениях на доступ к Интернету только для доступа к заранее определенным сайтам обновлений, - говорит он. Уайт ранее работал директором по информационной безопасности в Zions Bancorporation.
По словам Уайта, такая политика не только предотвращает взаимодействие программного обеспечения с вредоносными серверами управления и контроля, но также позволяет получать предупреждения, если оно пытается это сделать.
Что такое атака на цепочку поставок?
Атака цепочки поставок, также называемая цепочкой создания стоимости или сторонней атакой, происходит, когда кто-то проникает в вашу систему через внешнего партнера или поставщика, имеющего доступ к вашим системам и данным. Это кардинально изменило поверхность атаки типичного предприятия за последние несколько лет: больше поставщиков и поставщиков услуг обращаются к конфиденциальным данным, чем когда-либо прежде.
Риски, связанные с атакой на цепочку поставок, как никогда высоки из-за новых типов атак, растущей осведомленности общественности об угрозах и усиления надзора со стороны регулирующих органов. Между тем, злоумышленники имеют в своем распоряжении больше ресурсов и инструментов, чем когда-либо прежде, создавая идеальный шторм. Недавняя атака SolarWinds - яркий тому пример.
Атака SolarWinds подчеркивает риск цепочки поставок
Новости о прошлогодней атаке на государство против 18 000 клиентов производителя сетевых инструментов SolarWinds продолжают ухудшаться. Согласно недавнему отчету New York Times, атаки SolarWinds, приписываемые России, проникли не только в «несколько десятков» государственных и корпоративных сетей, как предполагалось вначале. Пострадало до 250 организаций, и злоумышленники воспользовались преимуществами нескольких уровней цепочки поставок.
«Это нарушение цепочки доверия», - говорит Стив Залевски, заместитель директора по информационной безопасности Levi Strauss. «Это большие проблемы со всем этим сторонним оборудованием», - говорит он. «Мы больше не держим его дома. Нам приходится полагаться на сторонние способы установить это доверие, а для этого нет национального или международного способа».
Проблема постоянно усугубляется, поскольку предприятия все больше и больше полагаются на внешних поставщиков, говорит Залевски, добавляя, что пора взглянуть на всю экосистему индустрии программного обеспечения, чтобы решить эту проблему. «Чтобы решить эту проблему полностью, нам нужна международная цепочка доверия, такая как глобальная система PKI, - говорит он, - где мы все сможем согласовать глобальный набор инструментов и практик».
К сожалению, практического способа сделать это нет. «Нам нужна правовая, нормативная, коллективная защита», - говорит Залевски. «Но для этого потребуются годы, годы и годы».
По оценке рейтингового агентства Bitsight, атака SolarWinds может стоить киберстраховым компаниям до 90 миллионов долларов. Это только потому, что государственные учреждения не покупают киберстрахование. Кроме того, злоумышленники старались как можно меньше скрывать информацию, чтобы украсть информацию, чтобы не нанести серьезного ущерба системам.
Другая атака на цепочку поставок в 2017 году, также приписываемая России, скомпрометировала украинское бухгалтерское программное обеспечение в рамках атаки, нацеленной на инфраструктуру страны, но вредоносное ПО быстро распространилось на другие страны. NotPetya нанес ущерб на сумму более 10 миллиардов долларов и нарушил работу транснациональных корпораций, таких как Maersk, FedEx и Merck.
Атаки на цепочки поставок привлекательны для хакеров, потому что, когда обычно используемое программное обеспечение скомпрометировано, злоумышленники потенциально могут получить доступ ко всем предприятиям, которые используют это программное обеспечение.
Все поставщики технологий уязвимы для атак на цепочки поставок
Любая компания, производящая программное обеспечение или оборудование для других организаций, является потенциальной целью злоумышленников. Субъекты национального государства обладают обширными ресурсами и навыками, чтобы проникнуть даже в самые заботящиеся о безопасности фирмы.
Целями могут быть даже поставщики средств безопасности. В случае SolarWinds, например, одной из наиболее известных взломанных компаний была FireEye, поставщик средств кибербезопасности. FireEye заявляет, что злоумышленники проникли не в клиентские системы, а только в инструменты проникновения, используемые для тестирования безопасности. Тот факт, что по нему вообще попали, вызывает беспокойство.
Другие поставщики, пострадавшие от атак Solar Winds, включают Microsoft и Malwarebytes, еще одного поставщика средств безопасности. «Учитывая цепочки поставок характер SolarWinds атаки, а в излишней осторожности, мы немедленно провели тщательное расследование всех исходного кода, сборки и доставки процессов Malwarebytes, включая реверс-инжиниринг наше собственное программное обеспечение,» компания сказал генеральный директор Марцин Kleczynski в сообщение от 19 января.
В январе поставщик защиты электронной почты Mimecast объявил, что он также подвергся атаке изощренного злоумышленника, и были сообщения о том, что это та же группа, что и та, что стояла за взломом SolarWinds.
Эти атаки показывают, что любой поставщик уязвим и может быть скомпрометирован. Фактически, этой осенью поставщик средств безопасности Immuniweb сообщил, что 97% из 400 ведущих мировых компаний в области кибербезопасности имели утечки данных или другие инциденты безопасности, обнаруженные в темной сети, и 91 компания имела уязвимости безопасности веб-сайтов, которые можно было использовать.
Подобные атаки появились не в последнее время. В 2011 году RSA Security признала, что ее токены SecurID были взломаны. В результате был атакован один из ее клиентов, Lockheed Martin.
В дополнение к атакам, подобным SolarWinds, которые включают компрометацию поставщиков коммерческого программного обеспечения, существуют два других типа атак на цепочки поставок - атаки на проекты программного обеспечения с открытым исходным кодом и случаи, когда правительства напрямую вмешиваются в продукты поставщиков, созданных в их юрисдикциях.
Угроза цепочки поставок с открытым исходным кодом
Коммерческое программное обеспечение - не единственная цель атак на цепочки поставок. Согласно отчету Sonatype о состоянии цепочки поставок программного обеспечения за 2020 год, атаки на цепочки поставок, нацеленные на проекты программного обеспечения с открытым исходным кодом, являются серьезной проблемой для предприятий, поскольку 90% всех приложений содержат открытый код, а 11% из них имеют известные уязвимости.
Например, во время взлома Equifax в 2017 году, которое, по словам компании, обошлось почти в 2 миллиарда долларов, злоумышленники воспользовались незащищенной уязвимостью Apache Struts. Двадцать один процент компаний заявили, что они испытали нарушение, связанное с открытым исходным кодом, за предыдущие 12 месяцев.
Злоумышленникам не нужно ждать, пока уязвимость волшебным образом не появится в программном обеспечении с открытым исходным кодом. За последние несколько лет они начали сознательно ставить под угрозу процесс разработки или распространения открытого исходного кода, и это работает. Согласно исследованию Sonatype, количество таких атак нового поколения увеличилось на 430% по сравнению с предыдущим годом.
Угроза привлечения иностранных поставщиков
Зачем взламывать компанию-разработчика программного обеспечения, если вы можете просто войти и приказать им установить вредоносное ПО в их продукты? Это не лучший вариант для России, поскольку она не совсем известна как экспортер технологий. Но Китай есть.
«Взломанная электроника на военных, правительственных и критически важных гражданских платформах США дает Китаю потенциальные лазейки для компрометации этих систем», - заявляют сенаторы США Майк Крапо (штат Айдахо) и Марк Уорнер (штат Вирджиния) в заявлении, в котором объявляется двухпартийный закон о MICROCHIPS от 2019 года.
По словам Стива Уилсона, вице-президента и главного аналитика Constellation Research, почти каждая государственная организация и частная компания в той или иной степени знакомы с технологиями, происходящими из Китая или других стран с низкими ценами.
Как защититься от атак на цепочку поставок
Итак, что могут сделать предприятия? Некоторые нормативно-правовые базы, например, в финансовом секторе или здравоохранении, уже предусматривают стороннее тестирование рисков или имеют некоторые стандарты, которым должны соответствовать поставщики. «В PCI есть компонент качества программного обеспечения для проверки качества компонентов мобильных платежей», - говорит Уилсон, имея в виду Стандарт безопасности данных индустрии платежных карт (PCI-DSS).
Существуют также более общие структуры, такие как Модель зрелости возможностей (CMM), ISO 9001, Common Criteria, SOC 2. «Я большой поклонник аудитов CMM, - говорит Уилсон. «С другой стороны, я признаю цену. Единственные люди, которые до недавнего времени настаивали на Общих критериях, - это привидения».
Также существует аккредитация FiPS-140 для криптографических модулей. «Это действительно дорого, - говорит Уилсон. «Это миллион долларов, чтобы получить приложение, сертифицированное по стандарту FIPS-140, и если вы не продаете Blackberry федеральному правительству, вы этого не сделаете».
Предприятия слишком привыкли к дешевому и быстрому программному обеспечению. «Мы должны признать, что мы пишем дешевое программное обеспечение в течение десятилетий, и цыплята возвращаются домой на ночлег», - говорит Уилсон.
Однако, если предприятия начнут требовать большего тестирования или регулирующие органы вмешаются и потребуют более эффективных мер контроля, тогда затраты на аудит, вероятно, снизятся. «Если люди начнут вкладывать больше средств в тестирование, бизнес по тестированию получит больше доходов и больше конкуренции», - говорит Уилсон. Также будет больше инноваций, например, в автоматизированном тестировании.
По словам Залевски, в Levi Strauss компания проверяет своих поставщиков программного обеспечения. «Мы требуем, чтобы они имели очевидные и проверяемые доказательства того, что они внедрили структуру безопасности и могут продемонстрировать соответствие этой структуре», - говорит он. Он добавляет, что Леви Страусс не диктует, каким конкретным поставщикам фреймворков следует следовать. «Но мы хотим, чтобы вы записали свои меры безопасности и методы работы, чтобы мы могли убедиться, что они совместимы с нашими. Вот как мы управляем рисками, и это лучшее, что вы можете сделать».
Центры обработки данных не должны прекращать установку исправлений. Фактически, процесс управления исправлениями Леви Страусса означал, что исправления для программного обеспечения SolarWinds были установлены до появления новостей, защищая компанию от любых других злоумышленников, которые могли захотеть сесть в поезд SolarWinds.
Однако он признал, что системы компании не смогли отловить вредоносное ПО внутри обновления SolarWinds. Конечно, никто этого не сделал - FireEye и Microsoft тоже его не заметили. Проблема, по словам Залевски, заключается в том, что сложно сканировать обновления на предмет подозрительного поведения, поскольку обновление, по определению, предназначено для изменения поведения программного обеспечения.
«Это просто природа того, как работает программное обеспечение», - говорит Залевски. «Проблема в экосистеме и в том, как она устроена. Плохие парни ищут пробелы и используют их ».
«Атаки на цепочки поставок по-прежнему встречаются намного реже, чем атаки на известные уязвимости», - говорит Шимон Орен, вице-президент по исследованиям в компании Deep Instinct, занимающейся безопасностью. «Риск незащищенной уязвимости или обновления безопасности, которое не было реализовано в значительной степени, я бы сказал, значительно перевешивает риск атаки на цепочку поставок». Согласно отчету IBM « Стоимость утечки данных за 2020 год», уязвимости в стороннем программном обеспечении являются основной причиной 16% всех нарушений.
Вместо того, чтобы откладывать исправления, Орен предлагает предприятиям спрашивать своих поставщиков, какой у них механизм для защиты своего программного обеспечения от взлома. «Какая у них позиция безопасности? Какие механизмы проверки кода они используют сегодня? »
К сожалению, по его словам, не существует набора стандартов, специально посвященных безопасности процесса разработки программного обеспечения. «Я не думаю, что есть что-то, что говорит о безопасности вашего кода».
Одной из организаций, работающих над устранением этого недостатка, является Консорциум по качеству информации и программного обеспечения, группа с особыми интересами, входящая в группу по технологическим стандартам Object Management Group. Одним из стандартов, над которым работает организация, является, например, программный эквивалент ведомости материалов. Это позволит корпоративным клиентам узнать, какие компоненты используются в используемом ими программном обеспечении, и есть ли у каких-либо из этих компонентов известные проблемы с безопасностью.
«Сейчас он в процессе, и мы ожидаем, что он будет завершен весной этого года», - говорит исполнительный директор Билл Кертис. По его словам, в этом участвуют Microsoft, Linux Foundation и другие крупные игроки - всего около 30 компаний.
Пробелы в оценке рисков цепочки поставок
По словам адвоката Иеуана Джолли, сопредседателя практики инноваций в области конфиденциальности, безопасности и данных в Loeb & Loeb, проведение надлежащей комплексной проверки не менее важно или даже более важно, чем контракт, который предприятие может заключить со своим поставщиком. Если поставщик выйдет из бизнеса в результате нарушения, которое он вызвал, его клиенты не смогут взыскать убытки. Если они действительно возмещают убытки, «это никогда не будет адекватным средством защиты репутации компании, - говорит он.
Согласно недавнему опросу профессионалов в области управления рисками, проведенному Mastercard RiskRecon и Cyentia Institute, 79% организаций в настоящее время имеют официальные программы для управления рисками третьих сторон. Наиболее распространенными методами оценки рисков являются анкеты, которые используют 84% компаний, и обзоры документации, используемые 69%. Половина компаний используют удаленную оценку, 42% используют рейтинги кибербезопасности и 34% используют оценки безопасности на месте.
Несмотря на популярность анкет, только 34% специалистов по рискам говорят, что верят ответам поставщиков. Однако при обнаружении проблемы 81% компаний редко требуют исправления, и только 14% полностью уверены, что поставщики выполняют их требования безопасности.
По словам Келли Уайт, генерального директора и соучредителя RiskRecon, после атаки SolarWinds организациям, в частности, необходимо обратить внимание на своих поставщиков программного обеспечения, особенно тех, у которых есть программное обеспечение, имеющее привилегированный доступ к активам компании. Это включает расширение критериев оценки, чтобы включить целостность процесса разработки программного обеспечения, говорит он, «чтобы убедиться, что средства контроля достаточны для предотвращения внедрения вредоносного кода».
По словам Уайта, настало время удвоить минимальные привилегии. «Когда я работал директором по информационной безопасности в крупном финансовом учреждении, любое программное обеспечение, которое требовало связи с Интернетом, было ограничено в разрешениях на доступ к Интернету только для доступа к заранее определенным сайтам обновлений, - говорит он. Уайт ранее работал директором по информационной безопасности в Zions Bancorporation.
По словам Уайта, такая политика не только предотвращает взаимодействие программного обеспечения с вредоносными серверами управления и контроля, но также позволяет получать предупреждения, если оно пытается это сделать.
