Unternehmen vernachlässigen immer noch die Sicherung ihrer Lieferketten, so die Teilnehmer einer Diskussionsrunde auf der Infosecurity Europe 2022.
Der Podiumsvorsitzende und Sicherheitsberater Peter Yapp warnte, dass weniger als 10 % der Unternehmen die Sicherheit ihrer Lieferanten überprüft haben. „Angriffe auf die Lieferkette werden nur zunehmen“, sagte er.
Unternehmen sehen sich mit einer wachsenden Zahl von Angriffen auf ihre Softwareanbieter und Anbieter von verwalteten Diensten konfrontiert. Kriminelle Gruppen folgen dem Beispiel nationalstaatlicher Akteure und nutzen die Lieferkette als Weg in Unternehmen. „Es ist ein Sprungbrett, das zu mehreren Kunden führt“, sagte Japp.
Es bleibt schwierig, Angriffe über Dritte zu stoppen. Obwohl automatisierte Tools entwickelt werden, verlassen sich Unternehmen nach wie vor auf manuelle Prozesse, vorvertragliche Ermittlungen, Vertragsklauseln und Fragebögen.
„Wir müssen sicherstellen, dass wir in der Lage sind, uns in den richtigen Teil des Prozesses einzuschalten“, sagte Lewis Woodward, Direktor für Cyberoperationen bei Maersk. Dazu gehören die Beschaffung und rechtliche Schritte.
Im Idealfall sollten die Sicherheitsteams alarmiert werden, wenn Firmen Dienste aus der Cloud einkaufen; ein Unternehmen platziert sogar Benachrichtigungskennzeichen auf seinen Kreditkarten, um die Sicherheitsteams vor Käufen zu warnen. Andere verlassen sich jedoch immer noch auf Fragebögen.
„Sie haben ihre Berechtigung“, sagt Praveen Singh, Leiter der Abteilung Global Risk and Cyber bei der ICBC Standard Bank. „Man muss sich in der Tiefe verteidigen“. Dazu könnte gehören, dass man überprüft, ob ein Lieferant über bestimmte Zertifizierungen verfügt. Aber die Unternehmen nutzen auch zunehmend Sicherheitsbewertungsdienste von Dritten, fügte er hinzu.
Laut Jeremy Snyder, Gründer und CEO von FireTail, können sogar einfache Fragebögen nützlich sein, wenn die Daten das IT-Sicherheitsteam erreichen und nicht nur ein Ankreuzfeld für die Beschaffung sind. „Fragebögen werden sehr selten von den Sicherheitsabteilungen genutzt“, warnte er. „Ein Teil von mir möchte eine ‚grüne M&Ms-Frage‘ einfügen, um zu sehen, ob jemand tatsächlich zuhört.“
Woodward von Maersk fügte hinzu, dass die Fragebögen auf den Anbieter zugeschnitten sein müssen. „Wenn man unabhängig von der Dienstleistung einen 500 Zeilen langen Fragebogen verschickt, erhält man nicht die Daten, die man braucht“, sagte er.
Unternehmen sollten sich jedoch nicht auf Fragebögen oder andere punktuelle Bewertungen des Risikos in der Lieferkette verlassen. Es ist nach wie vor schwierig, Dienste von Drittanbietern zu scannen und zu verifizieren, aber Sicherheitsteams können auf abnormales Verhalten achten, so Woodward.
CISOs könnten auch das automatisierte Patching besser nutzen, schlug Snyder von FireTail vor. „Die Vorteile des automatisierten Patchings überwiegen bei weitem das Risiko einer Unterbrechung der Produktionssysteme durch automatisiertes Patching“, sagte er.
Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com
Forscher entdecken Wege, um die Verschlüsselung des Cloud-Speicherdienstes „MEGA“ zu knacken