17/01/2021
מאת אדם ערוץ CISO חברת טראסטנט וראש תחום GRC
חשיבות אבטחת שרשרת אספקה
במציאות הטכנולוגית של היום, הקשר בין הספק ללקוח הוא רק השלב הסופי בשרשרת מסחרית ארוכה ומסועפת, בה ארגונים רבים מחוברים ביניהם דרך אותה שרשרת בלתי נראית, שרשרת האספקה. בשנים האחרונות אנו עדים לעלייה במספר התקיפות שבוצעו על ידי ניצול שרשרת האספקה.
כל ארגון, גם כזה שמקפיד הקפדה יתרה על אבטחת מידע, עלול למצוא את עצמו חשוף עקב פרצה אצל ספק, או ספק של הספק אשר איתו הוא עובד. האירוע האחרון אשר פגע בחברת עמיטל ובלקוחותיה, ממחיש את חשיבות אבטחת שרשרת האספקה.
מדוע תוקפים מכוונים לשרשרת האספקה?
- החוליה החלשה בשרשרת – ספקים, נותני שירות ובתי תוכנה עלולים להיות החוליה החלשה בשרשרת האספקה מבחינת אבטחת מידע. תוקף אשר מעוניין במטרה איכותית או קשה להשגה, יוכל להשקיע את מאמציו בספק עם אבטחה נמוכה יותר, ובכך להשיג דלת כניסה לארגון המאובטח.
- יחסי אמון עם הספק – לעיתים, ובעיקר עבור שירותים קריטיים, חברה תאפשר לספק גישה רחבה מאוד לארגון, לרשת ולמערכות קריטיות כחלק מהסכם נתינת השירות (SLA) אשר אליו התחייבו ומתוך חשש שתקלות מהותיות לא יטופלו בזמן. עקב כך, נראה חיבורים לא מאובטחים לספקים, חוסר בניטור ובקרה של פעולות הספק, ולעיתים אף קו ישיר, נפרד ובלתי מפוקח עם הספק. תוקפים מודעים לחולשות הבקרה בערוצים אלה ומשתמשים בהן ככר פורה לביצוע תקיפות מבלי להתגלות.
- פגיעה במקור – גם לתוקפים יש משאבים וזמן מוגבלים. התמקדות בספק מהותי, אשר משרת ארגונים רבים, יכול להניב לתוקפים פירות רבים יותר מאשר תקיפה של ארגון ספציפי.
אופן התקיפה בשרשרת האספקה
תוקפים יחפשו גישה לרשת הספק, ולאחר השגת האחיזה המתאימה, יחלו בחדירה ותקיפה של הלקוחות ושל גורמי צד ג’ אשר מקושרים אליהם.
שלבי התקיפה
כיצד להתגונן?
הגנה על שרשרת האספקה הינה נושא מורכב ורגיש. יש לערב בתהליך את כלל מחלקות החברה, תוך שילוב יחידות עסקיות כגון רכש, מחלקה משפטית, שיווק וכמובן מערכות מידע. ישנו צורך ליצור תהליך ודו-שיח מול הספקים ולהגיע להסכם בנוגע לציפיות אבטחת המידע מהם. התהליך פשוט יותר מול ספקים חדשים מאשר מול ספקים קיימים, אך תמיד ניתן להגיע לעמק השווה ולשלב את אבטחת המידע כחלק מהאופרציה של התהליך.
תהליך הגברת האבטחה וצמצום הסיכונים הנובעים מעבודה עם ספקים ונותני שירות יכלול:
- מיפוי וקטלוג ספקים מהותיים – הבנת האופרציה של הספק מול הארגון, סוג המידע והמערכות אשר אליהם הוא נחשף, התממשקות, זמני SLA וההשפעה של הספק על תהליכים עסקיים בארגון.
- העברת הנחיות אבטחת מידע – על כל ספק לקבל מסמך הנחיות אבטחת מידע עליו יחתום כחלק מחוזה ההתקשרות. המסמך יכלול הנחיות אבטחה לעבודת הספק מול הארגון, וגם התנהלות מאובטחת פנימית (כגון אבטחת משאבי אנוש, פיתוח מאובטח וכו’).
- בחינת אבטחה – רמת האבטחה של כל ספק צריכה להיבחן בתהליך מחזורי ובכך להבין את רמת הסיכון של אותו ספק לארגון. התהליך יכול לכלול:
- מילוי שאלוני אבטחה
- ביצוע סקרי אבטחה אצל הספק
- הצגת סקר סיכונים ומבדקי חדירות
- בחינת עמידה ברגולציות רלוונטיות (SOC2, GDPR, CCPA)
- הצגת פערי אבטחת מידע וסקירה חוזרת
- צמצום הסיכונים – לאחר מיפוי הסיכונים מכל ספק והבנתם, ניתן לבצע תהליך בארגון לצורך צמצומם:
- הגבלת גישה מרשת הספק – ליצור הגבלה על התחברות לרשת הארגון תוך כדי שילוב אופן התחברות מאובטח ומנוטר אשר בשליטת הארגון ולא זמין באופן קבוע לספק. שימוש בתוכנות כגון Team Viewer, LogMeIn, AnyDesk, VNC ועוד, על בסיס חיבור קבוע אינו מומלץ וחושף את הארגון לסיכונים.
- ניטור פעולות הספק – כאשר ספק מתחבר לארגון לעבודה על מערכות רגישות יש לחתור ליצירת פלטפורמת עבודה מאובטחת של הארגון אשר ממנה הוא יבצע את הפעילות על המערכות. מערכות כגון PAS/PAM (privilege access security/management) או שימוש ב jump server יאפשר עבודה של הספק מפלטפורמה ייעודית ומאובטחת עם כלי האבטחה והניטור של הארגון.
- שילוב של אמצעי הקלטה ובקרה (session recording, user behavior monitoring, data loss prevention) יוכל לספק תיעוד ובקרה לעבודת הספקים.
- בידוד והגבלת פעולות הספק – לאחר התחברות הספק, יש להגביל את פעילותו למערכות ואזורי הרשת הרלוונטיים תוך כדי צמצום הרשאות למינימום ההכרחי. נתינת הרשאות גבוהות ברשת כגון Domain Admins לא הכרחי ויצור סיכונים מיותרים לארגון.
- התקנת תוכנות מספקים – כל תוכנה, ללא יוצא מן הכלל, שעתידה להיות מותקנת בארגון צריכה להיבדק ולא להיות מותקנת באופן אוטומטי. כאשר ספקים עובדים על מערכות הארגון, יש צורך לפקח על פעילותם ולוודא שהם לא מתקינים תוכנות כלשהן באופן עצמאי.
סיכום
שרשרת האספקה הפכה בשנים האחרונות לכלי פופולרי בידי התוקפים בכדי לחדור לארגונים מאובטחים. ע”י התייחסות לסיכוני שרשרת האספקה כמו לסיכונים ישירים, הארגון יכול לנהל ולצמצם אותם. מדובר בתהליך מחזורי וקבוע שמטרתו לבחון שוב ושוב את רמת הסיכון של הספקים השונים ואופן ההתמודדות של הארגון עם אותם סיכונים.
השקעה של הארגון באבטחת העבודה מול הספקים, נותני השירות ובתי התוכנה, תוכל לצמצם פגיעה במידה ואחד מאותם גורמים ייחשף לתקיפה.
לעדכונים שוטפים בתחום אבטחת מידע וסייבר בקרו בבלוג שלנו ועקבו אחרינו בדף הפייסבוק