「サプライチェーン」は、「リンク」の连なりであるため、组织がビジネスを行うサードパーティ(ベンダー、パートナー、请负业者など)との関係を表す适切な用语で、サイバーセキュリティにおいても重要な言叶です。たとえば、「あなたの安全は、最も弱い『リンク』と同じくらい安全である」という意味です。
また、&苍产蝉辫;の间だけでなく、その现実を定期的に思い出させることがとても必要なのです。ほとんどのサプライチェーンには非常に弱い「リンク」が存在することを示す証拠が山ほどあるからです。さらに困ったことに、ほとんどの组织が「リスクを十分に认识」しているにもかかわらず、リスクに伴う事件や事故が発生し続けていることからすると、认识していない组织はほとんど无いということです。
おそらく、。 2013年、攻撃者は、同社のサービスサプライヤーの 1 つである空調制御(HVAC)システムの請負業者に対するフィッシング攻撃を通じて、Targetが保有する4,000万件のデビットカードとクレジットカード番号、および住所と電話番号を含む 7,000万件のその他の記録を盗むことに成功、Targetの販売時点管理(PoS)決済カードリーダーにアクセスできるようになりました。
しかし、有名だからといって珍しいわけではなく、今やサプライチェーンへの攻撃が蔓延しているのです。2019年の初め、エンドポイント?セキュリティ企業のCarbon Blackは、いわゆるを発行しました。これは、攻撃者が被害者のネットワークの侵害を拡大しようとするときに行うことを表す用语です。
「最近の攻撃者は、システム全体を「所有」したいと考えています。今日の攻撃のおよそ半分(50%)がアイランドホッピングを利用しています。」とレポートは述べています。
または、Carbon Blackの最高サイバーセキュリティ責任者であるTom Kellermannは次のようにレポートで述べています。
「たとえば、彼らはあなたの家に侵入しているだけではありません。彼らはそこに店を构えることで隣人の家にも侵入することができるのです。」
Ponemonの発行した「2018 Data Risk in the Third-Party Ecosystem」では、米国と英国の1,000を超える回答企業の59%が、前年中にサードパーティまたはベンダーによって引き起こされたデータ侵害の被害者であったと述べ、22%は被害にあったかどうかすらわからないと答えました。
その他の例では、ロシア语を用いるハッカーがウクライナの会计アプリケーションの更新メカニズムを侵害することで、2017年に悪名高い&苍产蝉辫;を広めることに成功しています。
Motherboardは2019年3月に、攻撃者が世界最大のコンピューターメーカーの 1 つであるし、悪意のあるバックドアを約500,000台のコンピューターに拡散したことを発見したと、Kaspersky Labの研究者によって報告されました。研究者はこれに「ShadowHammer」というラベルを付けました。「悪意のあるファイルは正規のASUSのデジタル証明書で署名されており、正規のソフトウェアアップデートであるかのように見せかけていた」ためです。
记忆に新しいものでは、2022年にが世界中で报道されましたし、もっとたくさんの例がありますが、すでに问题を理解できたことと思います。
攻撃者の间で「サプライチェーン」が非常に人気があるのはなぜでしょうあ。明らかな理由の1つは、攻撃対象が拡大し続けていることです。ビジネスは、特にオンラインの世界では、かつてないほど相互接続されています。そして、それらのほとんどは、数十、数百、さらには数千ものアプリを使用しており、その多くは外部ベンダーが提供しているもので、多く利用されているアプリを乗っ取ることができれば攻撃者にとって费用対効果が高いと考えられるからです。
以上のことから、组织はに関する NIST(米国国立標準技術研究所)のアドバイスに従うことをお勧めします。
そして、同机関は次のように呼びかけています。
「IT/OT製品およびサービス?サプライチェーンの、分散型および相互接続型の性質に関連するリスクを特定、評価、および軽減することが重要です。また、サプライ チェーンの脅威や脆弱性は、IT/OT 製品やサービスをあらゆる段階で意図的または非意図的に危険にさらす可能性があるため、システムのライフ サイクル全体 (設計、開発、配布、展開、取得、保守、および破壊) が対象となります。」
しかし、前述のように、组织はリスクを认识していると述べているものの、ほとんどの组织はサプライチェーンのセキュリティを优先事项にしていないことも认めています。
骋补谤迟苍别谤による2019年5月30日のレポート「」では、「サプライチェーンのリーダーは、サイバー攻撃のリスクを悬念事项のリストの最上位に挙げていますが、その戦略としての机能と滨罢の関係を特徴付けているのはそのうちの10%のみです。」
これは皮肉なことであり、厄介なことでもあります。なぜならサプライチェーンを利用したいと思っている人なら谁でもたくさんの助けが得られるからです。
当時Synopsysのクリティカルシステム?セキュリティ担当ディレクターだったMike Ahmadi(現在はFarallon Technology Groupのリサーチ担当副社長)と、当時Schneider ElectricのCSO兼副社長のサイバーセキュリティ担当だったGeorge Wrenn(現在はZenPrivataのFounder兼CEO) は、効果的な調達言語を作成する方法について広範なアドバイスを提供しました。これは、サプライヤーまたはその他の第三者が提供するソフトウェアの品質、信頼性、そして何よりもセキュリティに関する声明に対して契約上責務を負うように設計されているからです。
谁もが知っているように、人々が何かに署名するとき、彼らはそれをより真剣に受け止める倾向があるので、それは基本的なものであるべきです。
次に、厂测苍辞辫蝉测蝉によるオープンソース·セキュリティ&リスク分析(翱厂厂搁础)レポートによれば、すでによく知られていることですが、监査された1700あまりのソフトウェアは、オープンソースが最终コードの96%を构成していますが、利用するオープンソースのコードの中身を知ろうとせず、テストも行わない组织は、サプライチェーン问题を引き起こすことになります。
しかし、础丑尘补诲颈が2016年に指摘したように、面倒で时间のかかる手作业によるレビューを実施する必要はありません。代わりに、自动化されたツールを使用することで、彼の求めていたテストを正确かつ迅速に行うことができます。
また、「手作业で详细に调べ上げてテストケースを组み立てることで、プロトコルレベルでファジングテストを行うことができます。あるいは、自动テストツールを利用すれば、ボタンを押してそれらのテスト结果が出るのを待つだけです。」
また、BSIMM(Building Security In Maturity Model)レポートは、同業他組織がどのような対策を実施していて、どんなやり方が機能しているかを示すことで、組織のソフトウェア?セキュリティ?イニシアチブ(厂厂滨)の成长と改善を支援します。このレポートの他にも、サードパーティが提供するソフトウェアに焦点を当てた&苍产蝉辫;BSIMMsc (以前は vBSIMM と呼ばれていました)も提供しています。
Synopsysの主席科学者であり、BSIMMの共著者であるSammy Miguesは、ホワイトペーパーで、BSIMMscは「認証と自動化を活用して、ソフトウェア?サプライチェーン?リスク管理の基本的なセキュリティ対策として機能する」と述べています。
もう少し简単に言えば、组织が「无知」なソフトウェア?ベンダーの採用を回避するのに役立つように设计されているということです。
BSIMMscレポートは、 BSIMM コミュニティ内におけるソフトウェア?ベンダーと取得者とのやりとりについての議論に基づいており、ソフトウェア サプライヤーを審査するための次のリストを提案します。これらのベンダーは、次の証拠を作成できる必要があります。
さらに、Gartner のレポートではサードパーティ?ベンダーのセキュリティを効果的に監視しようと試みている組織のための「プレイブック」を提供しています。
そして、アナリストの Katell Thielemann、Mark Atwood、Kamala Raman からの推奨事項には次のようなものがあります。
最後に、Synopsysのバリューチェーン?セキュリティ?ディレクターであるEmile Monetteは、、、、、国土安全保障省のプログラムにおける C-SCRM の実装など、さまざまなサプライ チェーン ソフトウェア セキュリティ プラクティスの編集を指摘しています。
以下を含む:
この长いリストのすべてを実行しても完璧であることの保証にはなりません。しかし、もっと近づくことができます。これは通常、攻撃を諦めて、他のより简単なターゲットを探すように仕向けるのに十分です。
そして、これらの取り組みを検討する際に「それを行う余裕があるか」と躊躇してはいけません。穴の開いたサプライ チェーンからのデータの盗難、法的責任、ブランドの損傷などのリスクを考えると、問題は「それらに取り組まずに済む余裕があるか」ということであるはずだからです。