Meskipun telah diperingatkan selama bertahun-tahun, risiko rantai pasokan tetap menjadi salah satu aspek yang paling rapuh dan diremehkan keamanan siber.
Banyak dari insiden dunia maya yang paling mengganggu dan paling menonjol tahun ini memiliki satu faktor kunci; rute penyerang ke perusahaan target adalah melalui penyedia pihak ketiga.
CEO dan salah satu pendiri ThreatAware.
Kebenaran mendasar dari keamanan siber adalah Anda tidak dapat mengendalikan apa yang tidak dapat Anda lihat, dan risiko tersebut akan berlipat ganda jika risiko tersebut berasal dari penyedia, pemasok, atau mitra pihak ketiga eksternal dalam rantai pasokan Anda, dan bukan dari dalam. jaringan.
Namun banyak organisasi masih mengandalkan kuesioner yang dinilai sendiri dan sertifikat kepatuhan yang sudah ketinggalan zaman sebagai bukti keselamatan.
Sampai organisasi dapat memverifikasi keamanan setiap mitra secara real-time, mereka akan terus bergantung pada asumsi daripada kepastian dan ini adalah posisi yang berbahaya ketika penyerang sudah memahami titik lemah dalam rantai pasokan Anda lebih baik daripada Anda.
Mengapa serangan terhadap rantai pasokan terus terjadi?
Salah satu alasan utamanya adalah para penyerang ingin mendapatkan keuntungan terbaik atas upaya mereka, dan telah mengetahui bahwa salah satu cara termudah untuk mencapai perusahaan yang memiliki pertahanan yang baik adalah melalui mitra. Tidak ada pencuri yang akan mencoba mendobrak pintu depan sebuah bangunan yang terlindungi dengan baik jika mereka dapat mencuri kunci dan menyelinap masuk melalui belakang.
Ada juga keuntungan dari skala: satu perusahaan menyediakan TI, SDMlayanan akuntansi atau penjualan ke banyak pelanggan mungkin memiliki sumber daya yang lebih sedikit untuk melindungi dirinya sendiri, itulah titik serangan yang wajar.
Pemasok, penyedia layanan, dan kontraktor yang lebih kecil sering kali kekurangan anggaran dan sumber daya untuk menerapkan tingkat perlindungan yang sama seperti organisasi besar yang mereka dukung, namun mereka sering kali memiliki akses istimewa ke berbagai lingkungan.
Ini adalah masalah yang tersebar luas dan memerlukan upaya bersama untuk mengatasinya, namun respon yang diberikan sejauh ini masih kurang. Sebagian besar pemeriksaan pemasok masih berkisar spreadsheetsurvei, dan sertifikat yang terverifikasi sendiri dan statis.
Skema seperti Cyber Essentials, ISO 27001, atau SOC 2 menawarkan struktur, namun hanya menegaskan bahwa niat baik pernah ada, dan tidak memberi tahu Anda apa yang benar saat ini.
Skema ini memang mempunyai nilai, namun hanya memberikan gambaran singkat saja. Kenyataannya, postur keamanan berubah setiap hari. Sertifikat di situs web tidak memberi tahu Anda apa pun tentang apakah multi-faktor otentikasi diterapkan, perangkat dienkripsi, atau titik akhir di-patch.
Ketika sifat risiko dunia maya berubah begitu cepat, audit tahunan terhadap pemasok tidak dapat memberikan bukti paling akurat mengenai kondisi keamanan mereka. Hasilnya adalah sebuah ekosistem yang dibangun atas dasar kepercayaan, di mana kepatuhan sering kali hanya menjadi sebuah selimut kenyamanan.
Sementara itu, penyerang memanfaatkan jeda antar siklus audit dan bergerak jauh lebih cepat dibandingkan proses verifikasi yang dirancang untuk menghentikan mereka.
Kecuali jika verifikasi berkembang menjadi proses yang berkesinambungan, kami akan tetap mempercayai dokumen sementara pelanggaran terus menyebar ke seluruh rantai pasokan. Setiap hubungan vendor kemudian menjadi titik buta yang menunggu untuk dieksploitasi. Jika Anda tidak mengukur keamanan koneksi tersebut secara terus-menerus, Anda tidak meningkatkannya.
Anda tidak dapat mengamankan apa yang tidak dapat Anda lihat
Bahkan dalam satu organisasi, sebagian besar tim keamanan masih kesulitan untuk melihat gambaran keseluruhannya. Di banyak lingkungan yang telah saya ulas, selalu ada perangkat, akun, atau aplikasi yang lolos.
Dalam beberapa kasus, kami menemukan organisasi menemukan perangkat sebanyak 30% lebih banyak daripada yang mereka duga sebelumnya. Jika kita tidak dapat mempertahankan visibilitas penuh di dalam tembok kita sendiri, maka tidak realistis untuk berpikir bahwa kita dapat memahaminya keamanan postur ratusan mitra eksternal.
Jadi, bagaimana organisasi mulai menutup kesenjangan visibilitas ini?
Seperti apa verifikasi berkelanjutan itu
Setiap perusahaan – baik pemasok maupun klien – harus mampu menunjukkan tingkat pertahanan proaktifnya secara real-time. Itu berarti verifikasi yang berkelanjutan, berdasarkan data, dan tidak dapat disangkal.
Bayangkan sebuah sertifikat yang secara otomatis disegarkan menggunakan data langsung untuk menunjukkan status Anda saat ini – sertifikat yang tidak dapat dipalsukan, karena terkait langsung dengan sistem yang Anda jalankan dan pertahanan yang Anda miliki.
Otomatisasi membuat hal ini dapat dicapai. Pemantauan berkelanjutan dapat memastikan apakah kontrol menyukainya perlindungan titik akhirMFA atau patching aktif dan berfungsi. Dasbor bersama antara klien dan pemasok dapat memberikan pandangan transparan mengenai kesehatan keamanan di seluruh rantai.
Di dunia ini, pemasok tidak hanya mengklaim bahwa mereka aman – mereka juga membuktikannya. Bukti, bukan janji, adalah hal yang pada akhirnya akan membangun ketahanan dalam rantai pasokan.
Mengubah budaya jaminan pihak ketiga
Teknologi saja tidak akan memperbaiki masalah rantai pasokan, dan perubahan pola pikir juga diperlukan. Terlalu banyak dewan direksi yang masih terganggu oleh tren keamanan besar berikutnya, dan mengabaikan hal-hal mendasar yang sebenarnya mengurangi pelanggaran.
Pencegahan pelanggaran perlu diukur, dilaporkan dan diprioritaskan sama seperti pencegahan lainnya bisnis KPI. Jika pemasok tidak dapat menunjukkan bahwa pertahanannya sudah siap dan berfungsi, hal ini harus dianggap sebagai kegagalan kinerja, bukan masalah teknis.
Selama bertahun-tahun, keamanan siber diperlakukan sebagai tugas kepatuhan – sesuatu yang harus dilewati satu kali dan ditinjau kembali di lain waktu. Budaya itu harus diakhiri. Masa depan jaminan terletak pada akuntabilitas yang berkesinambungan, dimana setiap organisasi dalam rantai dapat membuktikan keamanannya.
Membuktikan kepercayaan, bukan berasumsi
Keamanan setiap organisasi ditentukan oleh kekuatan tautan terlemahnya, dan dalam banyak kasus, hal tersebut adalah koneksi pihak ketiga. Penyerang sudah memahami hal itu, meskipun banyak bisnis yang tidak memahaminya.
Audit yang dilakukan sendiri dan sertifikat statis tidak lagi mencerminkan kenyataan betapa cepatnya ancaman berkembang. Satu-satunya cara untuk membangun ketahanan yang nyata adalah dengan beralih dari asumsi ke bukti – dari kepercayaan ke bukti. Kontinu, dataverifikasi yang didorong oleh teknologi harus menjadi standar baru untuk keamanan rantai pasokan.
Sampai kami dapat membuktikan, secara real-time, bahwa mitra kami seaman yang kami yakini, rantai pasokan akan tetap menjadi cara termudah bagi penyerang untuk langsung masuk ke pintu depan.
Kami telah menampilkan perangkat lunak enkripsi terbaik.
Artikel ini dibuat sebagai bagian dari saluran Expert Insights TechRadarPro tempat kami menampilkan para pemikir terbaik dan tercemerlang di industri teknologi saat ini. Pandangan yang diungkapkan di sini adalah milik penulis dan belum tentu milik TechRadarPro atau Future plc. Jika Anda tertarik untuk berkontribusi, cari tahu lebih lanjut di sini: https://www.techradar.com/news/submit-your-story-to-techradar-pro
