على الرغم من سنوات من التحذيرات، تظل مخاطر سلسلة التوريد واحدة من أكثر جوانب الأمن السيبراني هشاشة والتي يتم الاستهانة بها.
تشترك العديد من الحوادث السيبرانية الأكثر إزعاجًا والبارزة هذا العام في عامل رئيسي واحد؛ كان طريق المهاجم إلى الشركة المستهدفة من خلال مزود طرف ثالث.
الرئيس التنفيذي والمؤسس المشارك لشركة ThreatAware.
الحقيقة الأساسية للأمن السيبراني هي أنه لا يمكنك التحكم في ما لا يمكنك رؤيته، ويتضاعف هذا الخطر عندما ينبع من مزود أو مورد أو شريك خارجي من جهة خارجية داخل سلسلة التوريد الخاصة بك وليس من داخل الشبكة.
ومع ذلك، لا تزال العديد من المنظمات تعتمد على استبيانات التقييم الذاتي وشهادات الامتثال القديمة كدليل على السلامة.
وإلى أن تتمكن المؤسسات من التحقق من أمان كل شريك في الوقت الفعلي، فإنها ستستمر في الاعتماد على الافتراضات بدلاً من الضمانات، وهذا موقف خطير عندما يفهم المهاجمون بالفعل نقاط الضعف في سلسلة التوريد الخاصة بك بشكل أفضل منك.
لماذا تستمر هجمات سلسلة التوريد في الحدوث؟
أحد الأسباب الرئيسية هو أن المهاجمين يريدون تحقيق أفضل عائد على جهودهم، وقد تعلموا أن إحدى أسهل الطرق للدخول إلى مؤسسة محمية جيدًا هي من خلال شريك. لن يحاول أي لص تحطيم الباب الأمامي لمبنى محمي جيدًا إذا تمكن من سرقة المفتاح والتسلل من الخلف.
هناك أيضًا ميزة الحجم: شركة واحدة تقدم خدمات تكنولوجيا المعلومات أو الموارد البشرية أو المحاسبة أو المبيعات لعدة عملاء قد يكون لديها موارد أقل لحماية نفسها، وهذه هي النقطة الطبيعية للهجوم.
غالبًا ما يفتقر صغار الموردين ومقدمي الخدمات والمقاولين إلى الميزانية والموارد اللازمة لتنفيذ نفس مستوى الحماية الذي توفره المؤسسات الكبيرة التي يدعمونها، ومع ذلك فإنهم يتمتعون في كثير من الأحيان بامتياز الوصول إلى بيئات متعددة.
إنها مشكلة واسعة النطاق وتحتاج إلى جهود متضافرة لمعالجتها، لكن الاستجابة لم تكن كافية حتى الآن. لا تزال معظم عمليات فحص الموردين تدور حول جداول البيانات والاستطلاعات والشهادات التي تم التحقق منها ذاتيًا وثابتة.
توفر أنظمة مثل Cyber Essentials أو ISO 27001 أو SOC 2 هيكلًا، لكنها تؤكد فقط أن النوايا الحسنة كانت موجودة في السابق، ولا تخبرك بما هو صحيح اليوم.
هذه المخططات لها قيمة، لكنها لا تقدم سوى لمحة زمنية محددة. في الواقع، الوضع الأمني يتغير يوميا. لا تخبرك الشهادة الموجودة على موقع الويب بأي شيء عما إذا تم فرض المصادقة متعددة العوامل، أو تشفير الأجهزة، أو تصحيح نقاط النهاية.
عندما تتغير طبيعة المخاطر السيبرانية بهذه السرعة، لا يمكن لعمليات التدقيق السنوية للموردين تقديم الدليل الأكثر دقة لوضعهم الأمني. والنتيجة هي نظام بيئي مبني على الثقة، حيث يصبح الامتثال في كثير من الأحيان بمثابة غطاء مريح.
وفي الوقت نفسه، يستغل المهاجمون الفارق الزمني بين كل دورة تدقيق، ويتحركون بشكل أسرع بكثير من عمليات التحقق المصممة لإيقافهم.
وما لم يتطور التحقق إلى عملية مستمرة، فسوف نستمر في الثقة في الأعمال الورقية بينما تستمر الخروقات في الانتشار عبر سلسلة التوريد. تصبح كل علاقة مع البائع نقطة عمياء تنتظر استغلالها. إذا كنت لا تقيس أمان تلك الاتصالات بشكل مستمر، فأنت لا تقوم بتحسينها.
لا يمكنك تأمين ما لا يمكنك رؤيته
حتى داخل مؤسسة واحدة، لا تزال معظم فرق الأمن تكافح لرؤية الصورة الكاملة. عبر عدد لا يحصى من البيئات التي قمت بمراجعتها، هناك دائمًا أجهزة أو حسابات أو تطبيقات تسللت عبر الشقوق.
في بعض الحالات، نجد المؤسسات تكتشف ما يصل إلى 30% من الأجهزة أكثر مما كانت تعتقد أنها موجودة. إذا لم نتمكن من الحفاظ على الرؤية الكاملة داخل جدراننا، فمن غير الواقعي الاعتقاد بأننا قادرون على فهم الوضع الأمني لمئات الشركاء الخارجيين.
إذًا، كيف تبدأ المنظمات في سد فجوة الرؤية هذه؟
كيف يبدو التحقق المستمر
يجب أن تكون كل شركة – سواء كانت موردة أو عميلة – قادرة على إثبات مستوى دفاعها الاستباقي في الوقت الفعلي. وهذا يعني أن التحقق يكون مستمرًا ومعتمدًا على البيانات ولا جدال فيه.
تخيل شهادة يتم تحديثها تلقائيًا باستخدام البيانات المباشرة لإظهار حالتك الحالية – شهادة لا يمكن تزييفها، لأنها مرتبطة بشكل مباشر بالأنظمة التي تقوم بتشغيلها والدفاعات الموجودة لديك.
الأتمتة تجعل هذا ممكنا. يمكن أن تؤكد المراقبة المستمرة ما إذا كانت عناصر التحكم مثل حماية نقطة النهاية أو MFA أو التصحيح نشطة وتعمل. يمكن أن توفر لوحات المعلومات المشتركة بين العملاء والموردين رؤية شفافة للسلامة الأمنية عبر السلسلة.
في هذا العالم، لا يدعي الموردون أنهم آمنون فحسب، بل يثبتون ذلك أيضًا. إن الدليل، وليس الوعود، هو ما سيعمل في نهاية المطاف على بناء المرونة في سلسلة التوريد.
تغيير ثقافة ضمان الطرف الثالث
التكنولوجيا وحدها لن تحل مشكلة سلسلة التوريد، وهناك حاجة أيضًا إلى تغيير العقلية. لا يزال عدد كبير جدًا من مجالس الإدارة مشتتًا بسبب الاتجاه الأمني الكبير التالي، في حين يتجاهل الأساسيات التي تقلل فعليًا من الخروقات.
يجب قياس منع الاختراق والإبلاغ عنه وتحديد أولوياته تمامًا مثل أي مؤشر أداء رئيسي آخر للأعمال. إذا لم يتمكن المورد من إثبات أن دفاعاته موجودة وتعمل، فيجب التعامل مع ذلك على أنه فشل في الأداء، وليس مشكلة فنية.
لسنوات، تم التعامل مع الأمن السيبراني كمهمة امتثال – شيء يجب تجاوزه مرة واحدة وإعادة النظر فيه لاحقًا. تلك الثقافة يجب أن تنتهي. يكمن مستقبل الضمان في المساءلة المستمرة، حيث يمكن لكل مؤسسة في السلسلة أن تثبت أنها آمنة.
إثبات الثقة وليس افتراضها
يتم تحديد أمان كل مؤسسة من خلال قوة أضعف حلقاتها، وفي كثير من الحالات سيكون ذلك اتصالاً بطرف ثالث. ويدرك المهاجمون ذلك بالفعل، حتى لو لم تفعل ذلك العديد من الشركات.
لم تعد عمليات التدقيق الموثقة ذاتيًا والشهادات الثابتة تعكس حقيقة مدى سرعة تطور التهديدات. الطريقة الوحيدة لبناء مرونة حقيقية هي الانتقال من الافتراض إلى الأدلة، ومن الثقة إلى الإثبات. ويجب أن يصبح التحقق المستمر القائم على البيانات المعيار الجديد لأمن سلسلة التوريد.
وإلى أن نتمكن من إثبات، في الوقت الفعلي، أن شركائنا آمنون كما نعتقد، ستظل سلسلة التوريد هي الطريقة الأسهل للمهاجمين للدخول مباشرة عبر الباب الأمامي.
لقد عرضنا أفضل برامج التشفير.
تم إنتاج هذه المقالة كجزء من قناة Expert Insights التابعة لـ TechRadarPro حيث نعرض أفضل وألمع العقول في صناعة التكنولوجيا اليوم. الآراء الواردة هنا هي آراء المؤلف وليست بالضرورة آراء TechRadarPro أو Future plc. إذا كنت مهتمًا بالمساهمة، اكتشف المزيد هنا: https://www.techradar.com/news/submit-your-story-to-techradar-pro
التعليقات