공급망 사이버 보안 구축을 위한 10가지 지침

글로벌 공급망이 점점 더 디지털화됨에 따라 기업은 수많은 간접 소스로부터의 위험에 노출됩니다. 시스템은 가장 약한 링크만큼만 강력하며 해커는 취약한 구성 요소를 찾기 위해 세심하게 사냥합니다.

이 착취에는 높은 대가가 따릅니다. IBM의 데이터 침해 보안 비용 보고서에 따르면 직원이 25,000명 이상인 기업의 경우 평균 총 침해 비용이 552만 달러이고 직원이 500명 미만인 기업의 경우 264만 달러입니다. 대부분의 회사는 해커가 요구하는 몸값을 지불합니다. 올 여름 Colonial Pipeline Co.와 JBS SA는 대규모 사이버 공격 후 암호화된 데이터를 복구하기 위해 해커에게 각각 440만 달러와 1100만 달러를 지불했습니다.

기타 영향으로는 고객 서비스 중단, 신뢰 약화, 경쟁력 상실 등이 있습니다.

사이버 범죄자들은 ​​그 어느 때보다 효과적으로 공급망을 악용하기 위해 장벽을 회피하고 약점을 식별하고 있습니다. Colonial Pipeline의 경우 해커가 단일 요소 인증만 필요한 기존 VPN(가상 사설망) 프로필을 악용했습니다.

공격은 회사를 무력화시킬 뿐만 아니라 고객에게도 피해를 줍니다. 침해의 80%는 개인 식별 정보(PII)와 관련됩니다. 해커는 PII와 암호를 사용하여 웹에서 개인의 다양한 계정에 액세스합니다. 또한 귀하의 비즈니스든 제3자 또는 제4자 공급업체든 공급망이 중단되면 제품 및 서비스 생산에 영향을 미치고 가격도 상승합니다.

1,000명 이상의 참가자를 대상으로 한 CrowdStrike 보안 보고서에서 고위 IT 의사 결정권자와 사이버 보안 전문가의 3분의 2가 조직에서 소프트웨어 공급망 공격을 경험했다고 밝혔습니다. 같은 숫자는 그들의 회사가 미래의 침해에 대비할 준비가 충분하지 않다고 고백했습니다. 기업은 악용을 방지하기 위해 사전 예방적이며 사이버 복원력 구축에 집중해야 합니다.

미국 상무부 산하 NIST(National Institute of Standards and Technology)는 IT 자산을 적절하게 보호하기 위해 다음 단계를 권장합니다.

신분증

내부 위험 및 취약성 평가를 수행하여 잠재적인 위협 벡터(악의적인 공격이 방어를 통과하고 네트워크를 감염시킬 수 있는 경로)를 찾습니다. 고급 평가를 수행할 회사를 고용하는 것을 고려하십시오.

보호

조직을 보호하고 위협 이벤트를 방지하기 위해 필요한 조치를 취하십시오.

<울>

노출 감소. 방화벽 및 바이러스 백신 소프트웨어가 제공하는 기본 보호 외에도 권한 있는 액세스 절차를 설정하는 것이 중요합니다. 최소 권한 원칙을 따르십시오. 민감한 데이터에 액세스해야 하는 직원에게만 액세스가 허용됩니다.

행동 분석, 엔드포인트 탐지 및 대응(EDR), 인공 지능(AI) 및 위협 인텔리전스와 같은 도구는 방어를 강화할 수 있습니다. 기업은 보안 코딩 방식을 채택하고 OWASP(Open Web Application Security Project) 상위 10가지 웹 애플리케이션 보안 위험을 참조해야 합니다.

<울>

직원 헌신 및 교육 직원은 사이버 보안의 마지막 방어선이며 가장 일반적인 위협 벡터 중 하나입니다. 모든 직원을 참여시키는 것이 중요합니다. 이그제큐티브 스위트룸은 예외가 아닙니다. 직원들 사이에 건전한 의심의 문화를 조성합니다. 이 접근 방식은 지나치게 편집증적인 것처럼 보일 수 있지만 위험이 높을 수 있습니다.

직원들이 최신 스팸 및 사회 공학 기술에 노출되도록 인식 교육 및 내부 피싱 캠페인을 실시합니다. 피싱 캠페인에 빠진 직원은 즉시 교육을 받아야 합니다. 직원들이 다양하고 안전한 암호를 사용하는 강력한 암호 문화를 조성하십시오. 한 곳에서 비밀번호가 유출된 경우 해커가 동일한 이메일과 연결된 다른 계정에서 비밀번호를 사용할 수 있고 비교적 간단하다는 점을 이해하도록 합니다.

직원 학습을 보완하고 미국 국토부가 제공하는 가상 교육 모듈과 같은 최신 산업 동향에 대한 최신 정보를 제공하는 데 사용할 수 있는 유용한(무료) 사이버 보안 리소스가 무수히 많습니다. 보안.

<울>

보험. 공격에 대비하여 적절한 보험에 가입했는지 확인하십시오. 일부 보험사에는 랜섬웨어 보호 기능이 포함되어 있습니다. 사이버 공격에서 다루지 않는 사항에 대해 문의하십시오.

물리적 보안 . 물리적 침입 및 행동으로부터 인력, 하드웨어, 소프트웨어, 네트워크 및 데이터를 보호합니다. 감시 카메라, 경비원, 보안 시스템, 장벽, 자물쇠, 액세스 키 카드, 화재 경보기, 스프링클러 및 직원과 재산을 보호하도록 설계된 기타 시스템과 같은 솔루션을 고려하십시오.

편견에 주의하십시오. 사무실에 손을 가득 채운 채 문을 열어주는 것은 예의바르게 보일 수 있지만 보안에 위협이 됩니다. 회사 구내에 들어오는 모든 사람이 승인된 직원인지 확인하십시오.

<울>

선택적 비즈니스 관계 . 공급업체 네트워크를 통한 사이버 공격이 점점 보편화되고 있습니다. Ponemon Institute의 2020년 사이버 복원력 조직 연구에 따르면 조직의 56%가 타사 공급업체로 인해 사이버 보안 침해를 경험했다고 보고했습니다. 허용 가능한 위험 수준을 결정할 때 귀사와 협력할 계약자 또는 파트너를 선별적으로 선택하십시오.

사고 보고 . 사고 보고를 위한 좋은 문화와 교육을 심어주세요. IT 전문가는 잠재적인 피해를 더 빨리 알면 더 줄일 수 있습니다.

감지

연기 감지기가 없는 집은 감시가 없는 네트워크와 같다는 말이 있다. 보안 이벤트에 대한 지속적인 모니터링에는 물리적 환경, 네트워크, 서비스 제공업체 및 사용자 활동이 포함되어야 합니다. 취약점 스캔은 훌륭한 도구이며 민감한 정보가 포함된 시스템에서 정기적으로 수행해야 합니다.

대응 및 복구

응답 시간과 공격 비용 사이에는 상관 관계가 분명합니다. 탐지, 대응, 대응 및 교정에 가장 오랜 시간이 걸리는 산업은 가장 높은 비용을 발생시킵니다. 빠른 응답은 영향을 완화하는 데 도움이 될 수 있습니다. 그래도 가능성을 없앨 수는 없기에 항상 예방에 힘쓰고 있습니다.

재해 복구 계획은 재해 후 데이터 액세스 및 IT 인프라를 복원하는 데 중요합니다. 복구는 손상 범위에 따라 다릅니다.

비즈니스 연속성 계획의 형태로 모든 잠재적 사고 시나리오에 대한 대응 계획과 해결 로드맵을 작성하십시오. 재해 발생 시 비즈니스를 계속 운영할 수 있는 전술을 포함합니다. 주요 공급업체가 공격을 받는 경우 공급업체의 중요도와 조치를 결정합니다. 고객을 수용하기 위해 다른 제공업체로 옮겨야 하는 경우를 대비하여 백업 공급업체와 백업을 위한 백업을 요청하십시오.

효과적인 재해 복구 계획의 일환으로 최소 1년에 한 번 사이버 보안 침해를 시뮬레이션하는 것이 좋습니다. 이러한 훈련을 통해 관련 직원은 자신의 역할과 따라야 할 절차를 이해합니다.

사이버 보안은 공급망이 더욱 복잡해짐에 따라 모든 규모의 비즈니스에 두드러진 장애물이 될 것입니다. 취약성을 최소화하고 위협 이벤트를 방지하기 위해 공급망의 취약한 링크를 식별합니다. 사이버 복원력을 구축하면 더 비싸고 피해를 줄 수 있는 최악의 시나리오에 대비할 수 있습니다.

Marc Lewis는 Visible Supply Chain Management의 정보 보안 책임자입니다.