サプライチェーンセキュリティを正しく行うための5つのベストプラクティス
サプライチェーン攻撃は新しいものではありません。実際、米国国立標準技術研究所(NIST)は2015年にサプライチェーンリスクに関する最初の報告書を発表しました。
最もよく知られたサプライチェーン攻撃の一つは、その後すぐの2017年に発生しました。NotPetyaは、最初にバックドアを使用してサードパーティのソフトウェアを破損させ、数ヶ月後にはランサムウェアを配布し、世界中の組織に深刻な被害を与えました。
残念ながら、議論は主にランサムウェアの側面に集中し、元々のサプライチェーン攻撃、つまり数千の組織に数ヶ月間展開されたバックドアについては完全に見落とされていました。
「典型的な組織が数百、場合によっては数千のサードパーティと取引を行っていることを考えると、壊滅的なサプライチェーン攻撃の可能性は驚異的です。」
これまでで最も影響力のあるサプライチェーン攻撃であるSolarStorm、または技術的な用語で「持続的標的型攻撃」と正確に呼ばれるこの攻撃は、ソースコードレベルで人気のあるソフトウェア製品を破壊し、セキュリティ、技術、政府部門の複数の著名な組織から重要な情報を流出させたため、画期的な出来事でした。残念ながら、被害の全容はまだわかっておらず、ハッカーたちはその痕跡を非常にうまく隠しているため、確実に知ることはできないかもしれません。
典型的な組織が数百、場合によっては数千のサードパーティと取引を行っていることを考えると、壊滅的なサプライチェーン攻撃の可能性は驚異的です。アウトソーシングされた給与処理会社と取引していますか?リスクがあります。デジタルマーケティングエージェンシーと契約していますか?注意が必要です。クラウドプラットフォームでチャネルパートナーと協力していますか?予期せぬ、または検出されない攻撃に注意してください。
問題は、組織のサイバー脅威ベクトルが拡大しているかどうかではありません。答えが「はい」であることはすでにわかっています。本当の問題は、それに対して何をするかです。
サプライチェーンセキュリティの5つの重要なベストプラクティス
セキュリティアナリストの軍隊を雇うことができない限り、すべての脅威検出サービスに加入し、市場にあるすべてのセキュリティツールを購入し、デジタルグリッドから離れることができない限り、サイバー攻撃を検出し、それに対抗し、その影響を適切に修正する方法を理解する必要があります。
ここに、すべてのビジネスリーダーが知っておくべき5つのサイバーセキュリティ原則があり、サプライチェーン攻撃を軽減するためにCISO、CIO、またはCTOに対して準備を整えるべきです:
-
ベンダーのサイバーセキュリティの衛生状態と実践を確認する。 多くの大企業はベンダーのセキュリティ成熟度を確認するためのいくつかの安全策を講じていますが、私が多くの組織と仕事をしてきた経験から言えば、ベンダーのセキュリティを自信を持って保証する際にすべてのチェックボックスを確認する組織はほとんどありません。組織に特定のベンダーリスク管理手順がない場合は、Common Criteria、CIS、ISO 27000、SOC 2などの認証を確認することから始めることができます。
NotPetyaとSolarwindsは、それでもなお、ベンダーリスク管理をこれまで以上に広く受け入れる必要があることを示しています。データを処理するベンダーやアウトソーシングのシナリオだけでなく、クラウドへの接続を必要とするネットワーク内のすべての小さなアプリケーションやIoTデバイスに対してもサイバーリスクを測定しなければなりません。問題は、組織のサイバー脅威ベクトルが拡大しているかどうかではありません。答えが「はい」であることはすでにわかっています。本当の問題は、それに対して何をするかです。
-
自動パッチ適用ポリシーと手順を徹底的に見直す。 セキュリティパッチの通知を受け取るたびに、ユーザーや経営陣がビジネスの中断について不満を漏らすのを実際に耳にすることができます。自動パッチ適用ポリシーと手順は、パッチがタイムリーに適用されることを保証します。それでもなお、組織の自動パッチ適用を研究する必要があります。適切に実施および管理されていない場合、攻撃者は組織に侵入しやすくなります。
一方で、展開前にパッチを検証することは、必要な作業量を考えると、保護されていることを保証するものではありません。代わりに、自動パッチ適用が継続するだけでなく、増加する可能性が高いと仮定すべきです。CISOが自動パッチ適用の整合性を検証するために追加の手順を講じていることを確認してください。
問題は、組織のサイバー脅威ベクトルが拡大しているかどうかではありません。答えが「はい」であることはすでにわかっています。本当の問題は、それに対して何をするかです。」
-
ゼロトラストを実践する。 特権への容易なアクセスとアクセスポリシーの緩い施行の時代は終わらなければなりません。ゼロトラストは、その名の通り、大きなビジョンであり、組織のサイバーセキュリティの基盤とすべきです。特権ユーザーとアプリケーション、サービス、データへのアクセスを減らすことから始めてください。特に、組織内でますます普及しているサードパーティソフトウェアに関しては。
より良い状況認識を得るために、組織に簡単な質問をしてください:クラウド接続されたサードパーティソフトウェアが侵害された場合、ネットワーク内で到達可能な資産やアプリケーションの数はどれくらいですか?その答えは、特権アクセス管理、セグメンテーション、強化コントロールなどの技術的なサイバーセキュリティプログラムが実際のリスクに対して優先されているかどうかを判断します。
-
エンドポイントでのセキュリティを制御する。 「シャドーIT」は、組織をサプライチェーン攻撃に非常に脆弱にします。賢く、リソース豊富なエンドユーザーは、長い間ITの承認(およびITセキュリティコントロール)を回避して、自分自身のシステムやアプリケーションを導入してきました。シャドーITリスクは、技術的に快適でITのバックログに対してより忍耐強くない若いユーザーが組織に参加するにつれて劇的に加速します。
非承認のデバイスやアプリケーションは悪意があるか、容易に侵害される可能性があり、ユーザーやデバイスだけでなく、組織全体にとっての時限爆弾となります。エンドポイントセキュリティは、シャドーITの使用に焦点を当てたサイバー攻撃に対する最も効果的な防御線であることが歴史的に証明されています。したがって、組織はネットワークに接続され、エンドユーザーによって制御されるすべてのデバイスに対してエンドポイントセキュリティを強制しなければなりません。
「クラウド接続されたサードパーティソフトウェアが侵害された場合、ネットワーク内で到達可能な資産やアプリケーションの数はどれくらいですか?」
-
デジタルフォレンジクスを活用する。 従来のインシデント対応戦術は、標的型攻撃がより洗練され、頻繁になるにつれてもはや十分ではありません。標的型攻撃者があなたの裏庭にいるということは、すぐに排除しない限り、スパイ活動や破壊活動によってビジネスが大きな影響を受ける可能性があることを意味します。これらの洗練された攻撃者は通常、バックドアを残し、それを長期間にわたって繰り返し使用します。
それでもなお、多くの組織は影響を受けた環境のデジタルフォレンジクス分析を実施して隠れたバックドアを見つけようとはしませんでした。SolarWindsは、このリスクに対する意識を高めるための明確な警鐘でした。標的型攻撃に対処する場合、デジタルフォレンジクスは必須です。
これらのベストプラクティスはサイバーセキュリティに焦点を当てていますが、サイバーセキュリティはあまりにも大きく重要であるため、組織をハッカーから守る責任を持つ最高情報セキュリティ責任者(CISO)や同等の技術責任者に任せることはできません。
「サプライチェーンのサイバーセキュリティについて唯一安全な仮定は、組織がリスクにさらされているということであり、侵害が発生する前に何かをしなければならないということです。」
組織を安全で回復力のあるものに保つためには、最終的にサイバーセキュリティは経営陣全体と取締役会の責任です。CEOは、財務、エンジニアリング、マーケティング、または法務の問題を、それらの分野を監督する機能的な役員がいるからといって無視することはありません。同じ議論がサイバーセキュリティにも当てはまります。
サプライチェーンのサイバーセキュリティについて唯一安全な仮定は、組織がリスクにさらされているということであり、侵害が発生する前に何かをしなければならないということです。