Site icon Sophos News

Proteggere la supply chain dal rischio delle terze parti

La sicurezza della supply chain sta diventando una preoccupazione sempre più pressante per molte aziende, ma è un problema molto complesso da affrontare.

Ci sono due modi per affrontare queste preoccupazioni. Uno è tentare di valutare la sicurezza dei vostri fornitori e partner commerciali; l’altro è identificare le interazioni ad alto rischio e implementare controlli compensativi.

Valutazione del livello di sicurezza

Determinare quanto un fornitore prende seriamente la propria sicurezza può essere difficile, ma necessario. Il primo passo è determinare il livello di rischio che presenta, cosa che ti aiuterà a determinare quanto impegno dovrebbe essere investito nell’attività.

Se non ha un accesso remoto alla tua rete o elabora dati sensibili, puoi contrassegnarlo come rischio minimo. Al contrario, coloro a cui affidi l’accesso, la gestione o il trattamento dei dati per tuo conto richiedono un livello di controllo più elevato.

Esistono molti approcci per effettuare una valutazione, ma il più popolare tra i grandi fornitori di servizi, operatori cloud e processori di pagamento è determinare a quali tipi di certificazioni e audit sono soggetti.

Ad esempio, un processore di pagamento sarà soggetto alla conformità con PCI DSS. Se è soggetto a PCI DSS livello 1 o 2, è necessario richiedere il RoC (report sulla conformità) emesso dal suo QSA / ISA. Dovresti rivedere questi RoC su base trimestrale per assicurarti che soddisfino le tue aspettative.

Un’altra certificazione popolare per confermare gli audit è SOC 2/2 + / 3 per i tuoi fornitori di servizi cloud. Gli audit SOC valutano i controlli e le mitigazioni di sicurezza che coprono cinque Trust Service Principals: privacy, sicurezza, disponibilità, integrità dell’elaborazione e riservatezza.

Proprio come per la tua sicurezza, nessun tipo di audit è garanzia di nulla, ma ti aiuta nelle decisioni di acquisto e ti informa su coloro con cui interagisci. Altre cose che potresti prendere in considerazione o chiedere includono i rapporti sui test di penetrazione e la conformità al GDPR o la frequenza di precedenti falle o violazioni dei dati.

Queste considerazioni dovrebbero essere integrate nel processo di rinnovo del contratto e nei documenti RFI / RFQ. Le organizzazioni più grandi che dispongono di un processo di on-boarding dei fornitori dovrebbero integrare i requisiti in questo processo e rivederli periodicamente.

Oltre ai fornitori di servizi IT, applica un controllo aggiuntivo a qualsiasi outsourcing che fai in materia di risorse umane, legali, contabili e preparazione fiscale. Molte di queste stesse organizzazioni esternalizzano durante l’alta stagione e potrebbero introdurre più rischi di quanto pensi.

Applicare un approccio alla gestione del rischio

Il modo più comune in cui vediamo le organizzazioni cadere vittime di attacchi alla supply chain è attraverso l’uso di accessi rubati ma autorizzati. Troppo spesso ai fornitori di servizi vengono fornite credenziali con gli stessi diritti e privilegi dei dipendenti interni.

Vale a dire che non sono tenuti a utilizzare l’autenticazione a più fattori, il che consente sia il furto di credenziali tramite attacchi di phishing sia il riutilizzo non autorizzato delle credenziali da parte del personale. Poiché la maggior parte delle organizzazioni utilizza il SSO (single sign-on), è possibile abusare di queste credenziali per accedere a tutti i tipi di sistemi non necessari per l’attività in questione. Ciò aumenta il rischio di insider e outsider ugualmente dannosi.

Un altro errore è fornire VPN remota, RDP o altra tecnologia di accesso remoto senza restrizioni a terze parti per la gestione delle soluzioni. Per illimitato, si intende il fornire l’accesso all’intera rete invece di segmentare e rafforzare con cura tutti gli strumenti di accesso remoto necessari.

Tutti gli strumenti rivolti all’esterno devono richiedere l’autenticazione a più fattori e dovrebbero essere limitati a singoli host o sistemi. Laddove si desideri un accesso aggiuntivo, si consiglia di utilizzare il “jump host” per ridurre il rischio e fornire ulteriori opportunità di monitoraggio e registrazione.

Un altro processo che può far finire in lacrime è l’inserimento nella whitelist di tutte le applicazioni firmate dal certificato di firma del software di un fornitore. Abbiamo ripetutamente visto certificati rubati e utilizzati in modo improprio per firmare malware. Gli strumenti di sicurezza dovrebbero ispezionare tutto il possibile.

Quando conduci le tue valutazioni di sicurezza e i tuoi penetration test, collabora con i tuoi fornitori per assicurarti che siano inclusi nel tuo ambito di test. A volte le cose possono essere verificate in modo indipendente, ma le falle nel modo in cui interagiscono possono essere scoperte solo se viste come un sistema completo.

Monitora i bollettini sulla sicurezza di tutti i fornitori per essere in grado di distribuire rapidamente patch e mitigazioni quando vengono scoperte vulnerabilità e tieni d’occhio i titoli delle notizie che li riguardano. Quando stanno affrontando una crisi e devono rispondere a un incidente, potresti non essere in cima alla lista delle organizzazioni che devono avvisare. Ciò può consentirti di bloccare l’accesso e iniziare a verificare la situazione in cui si trovano ha avuto un impatto sulla tua azienda.

Infine, se hai un’assicurazione informatica, scopri se copre le perdite causate da terzi e come sottoscrivere la polizza, se necessario.

La sicurezza della supply chain è una delle aree di sicurezza più difficili da valutare. Molte organizzazioni la ignorano perché non sanno da dove iniziare o perché credono di non essere abbastanza importanti da essere prese di mira attraverso la compromissione di un partner fidato.

Il panorama delle minacce si è evoluto e la compromissione della supply chain è un problema per tutte le organizzazioni, grandi e piccole. Siamo tutti obiettivi nella supply chain di qualcuno e non è mai stato così importante ridurre al minimo il rischio di quella di terze parti.

Exit mobile version