“`html

Comentário

Na atual paisagem digital interconectada, os ataques à cadeia de suprimentos não são mais uma anomalia – são uma ameaça persistente e crescente. De SolarWinds a Kaseya, as violações de alto perfil demonstraram que os atacantes estão cada vez mais explorando vulnerabilidades na cadeia de suprimentos para infiltrar alvos em escala. Para os profissionais de segurança cibernética, os dias de dependência da gestão de risco de fornecedores tradicional chegaram ao fim. É necessária uma abordagem mais ampla e proativa para proteger a cadeia de suprimentos – uma que vá além de listas de verificação e questionários.

As Deficiências da Gestão de Risco de Fornecedores Tradicional

Historicamente, as organizações dependeram de avaliações de risco estáticas e processos de diligência prévia para avaliar seus fornecedores. Isso envolve a seleção de fornecedores por meio de questionários, auditorias de conformidade e, às vezes, até mesmo avaliações presenciais. Embora esses métodos ajudem a garantir a conformidade com as regulamentações do setor e a higienização básica da segurança cibernética, já não são suficientes para combater os sofisticados ataques à cadeia de suprimentos de hoje.

A principal falha da gestão de risco de fornecedores tradicional é assumir que a segurança é uma avaliação única em vez de um processo contínuo. Um fornecedor pode passar em uma auditoria inicial, mas o que acontece quando atualiza seu software ou integra um subcontratante terceirizado? Além disso, as avaliações estáticas raramente consideram vulnerabilidades de dia zero ou a rápida evolução das ameaças. Em resumo, quando uma avaliação é concluída, as informações geralmente estão desatualizadas.

Monitoramento Proativo da Cadeia de Suprimentos: Um Novo Paradigma

Uma abordagem mais eficaz para a segurança da cadeia de suprimentos envolve o monitoramento contínuo e em tempo real dos fornecedores. Em vez de esperar pelo próximo ciclo de auditoria ou questionário, as organizações devem aproveitar ferramentas que forneçam visibilidade atualizada nas posturas de segurança cibernética de seus fornecedores.

Algumas das maneiras de alcançar isso incluem:

• Plataformas de gestão de risco de terceiros: Plataformas como BitSight e Security Scorecard permitem que as organizações monitorem continuamente a postura de segurança externa de seus fornecedores. Essas plataformas agregam dados de fontes públicas, incluindo vulnerabilidades abertas, configurações SSL e até menções de violações potenciais, para fornecer insights em tempo real sobre riscos potenciais.
• Integração de inteligência contra ameaças: Ao integrar feeds de inteligência contra ameaças no processo de gestão de risco de fornecedores, as organizações podem identificar se algum fornecedor está sendo ativamente visado por atacantes ou se sua infraestrutura está comprometida. Essa abordagem dinâmica vai além dos questionários estáticos, permitindo que as organizações ajam rapidamente em resposta a ameaças emergentes.
• Testes de penetração contínuos: Testes de penetração de rotina não são mais um luxo; são uma necessidade. O teste regular dos sistemas dos fornecedores garante que as vulnerabilidades sejam identificadas e mitigadas antes que atacantes possam explorá-las. Com a crescente automação das ferramentas de testes de penetração, esse processo pode ser torná-se contínuo em vez de esporádico.

Blockchain para Maior Transparência na Cadeia de Suprimentos

Outra solução inovadora para os desafios de segurança da cadeia de suprimentos é o uso de blockchain para transparência e rastreabilidade. A tecnologia blockchain permite a criação de trilhas de auditoria imutáveis, tornando possível rastrear a origem de cada componente na cadeia de suprimentos. Isso pode ser especialmente valioso em indústrias como a farmacêutica ou a infraestrutura crítica, onde produtos falsificados ou componentes comprometidos podem ter consequências catastróficas.

Usando blockchain, as organizações podem verificar se cada elo da cadeia de suprimentos adere aos padrões de segurança e não foi adulterado. Além disso, contratos inteligentes na blockchain podem impor conformidade, acionando alertas ou mesmo ações (como revogar acesso) quando ocorrerem desvios dos padrões acordados.

Gerenciando Acesso: Uma Abordagem Dinâmica para Permissões de Fornecedores

Um elemento crítico da cibersegurança da cadeia de suprimentos que é frequentemente negligenciado é como os fornecedores acessam os sistemas internos. Modelos tradicionais concedem amplo acesso aos sistemas e dados dos fornecedores, muitas vezes além do que é necessário. Isso apresenta um risco significativo, pois comprometer a conta de um único fornecedor poderia conceder a um atacante as chaves para toda a rede de uma organização.

Uma abordagem mais dinâmica envolve implementar princípios de confiança zero, onde os fornecedores recebem as permissões mínimas necessárias, e o acesso é constantemente reavaliado. Isso pode ser feito através de:

• Controle de acesso granular: Aproveitar controles de acesso baseados em função (RBAC) ou até mesmo controles de acesso baseados em atributos (ABAC) garante que os fornecedores tenham acesso apenas aos recursos que precisam em um determinado momento.
• Monitoramento comportamental: O monitoramento contínuo do comportamento dos fornecedores em seus sistemas pode ajudar a detectar atividades anormais que podem indicar um compromisso. Ferramentas de detecção de anomalias baseadas em IA podem fornecer sinais de alerta precoce de que a conta de um fornecedor foi sequestrada.
• Acesso sob demanda: Algumas organizações estão adotando o acesso sob demanda (JIT), onde os fornecedores recebem acesso temporário aos sistemas apenas quando necessário, e o acesso expira automaticamente após um período predefinido. Isso minimiza o risco de backdoors permanentes serem deixados abertos.

Colaboração Ao Longo da Cadeia de Suprimentos

Por fim, melhorar a segurança da cadeia de suprimentos requer colaboração entre todas as partes interessadas. As organizações devem cultivar uma cultura de responsabilidade compartilhada, onde a segurança não é vista como responsabilidade exclusiva de fornecedores individuais, mas como um esforço coletivo. Isso pode ser alcançado através de:

• Scorecards de segurança para fornecedores: Compartilhar regularmente relatórios de postura de segurança com os fornecedores incentiva a transparência e a responsabilidade. Esses relatórios podem destacar áreas onde os fornecedores precisam melhorar e estabelecer expectativas claras para a remediação.
• Workshops de segurança para fornecedores: Realizar workshops ou sessões de treinamento para fornecedores pode ajudar a elevar sua compreensão das práticas de segurança modernas e garantir que suas equipes estejam equipadas para mitigar riscos.

Um Chamado à Ação

Chegou a hora de os profissionais de segurança cibernética repensarem sua abordagem à segurança da cadeia de suprimentos. As práticas tradicionais de gestão de risco de fornecedores não são mais suficientes no panorama de ameaças de hoje. Ao adotar o monitoramento contínuo, aproveitar o blockchain para transparência e implementar controles dinâmicos de acesso, as organizações podem construir cadeias de suprimentos mais resilientes que sejam mais difíceis de comprometer.

Em última análise, garantir a cadeia de suprimentos não se trata apenas de proteger seus fornecedores – trata-se de proteger todo o seu ecossistema de negócios.

“`

#Cibersegurança, #CadeiaDeSuprimentos, #GestãoDeRisco, #Blockchain, #Vulnerabilidades, #SegurançaCibernética, #Fornecedores, #MonitoramentoContínuo, #Transparência

Fonte:https://www.darkreading.com/cyber-risk/supply-chain-cybersecurity-traditional-vendor-risk-management