Kolla in alla on-demand-sessioner från Intelligent Security Summit här.
Det är ett allt mer välbekant scenario. Ett välrenommerat företag som erbjuder en populär onlinetjänst avslöjar att det har fallit offer för ett dataintrång. Cyberattackare har stulit kundnamn, telefonnummer och kreditkortsuppgifter, och lite kan göras för att rätta till situationen.
Högprofilerade företag som DoorDash, Plex och LastPass har alla nyligen blivit offer för tredjepartsattacker i leveranskedjan, men de är verkligen inte ensamma. Enligt ”Treading Water: The State of Cybersecurity and Third-Party Remote Access Risk” – en rapport med mer än 600 amerikanska säkerhetspersonal från fem branscher publicerad av Poneman Institute — Tredjepartsattacker har ökat från 44 % till 49 % sedan förra året.
Det verkliga antalet attacker är sannolikt högre, eftersom endast 39 % av de tillfrågade uttryckte förtroende för att en tredje part skulle meddela dem om ett brott. För att stoppa ökningen av sådana attacker måste vi ta en närmare titt på marknadsförhållandena och kulturella faktorer som orsakar dessa trender och varför så många företag misslyckas med att implementera moderna lösningar för att möta utmaningen.
Hacking heaven: Snabb digital transformation plus outsourcing
Så vad ligger bakom denna uppgång i supply chain attacker? Med två ord: Kulturförändring. Många industrier som tidigare arbetade offline mognar in i den digitala tidsåldern med hjälp av SaaS och molnteknik, en trend som har accelererat på grund av pandemin och övergången till distansarbete. När företag skyndar sig att modernisera sina system ser illvilliga angripare perfekta mål.
Lägg till detta ytterligare en marknadstrend: Outsourcing. För cirka 20 år sedan var det ovanligt för organisationer att lägga ut kontroll över en kärnverksamhet på entreprenad, men eftersom industrier genomgår digital transformation och samtidigt hanterar brist på arbetskraft, delvis tack vare The Great Resignation, är det mycket vanligare att förlita sig på tredjepartsleverantörer och tjänsteleverantörer.
Även om åtgärderna för att utnyttja tredje part för effektivitet och ändamålsenlighet och utnyttja molnteknologi för att leverera nytt, övertygande värde till marknaden i och för sig inte är dåliga beslut eller utvecklingar, men det betyder att attackytan för illvilliga hackare nästan expanderar exponentiellt.
Idag känner IT-proffs med uppgift att lösa intrång från tredje part av värmen. Företag improviserar med olika grader av framgång, ibland skapar de fler sårbarheter samtidigt som de försöker fixa andra. Trots goda avsikter har de flesta organisationer inte gjort några framsteg inom tredjepartssäkerhet under de senaste åren, och de betalar ett högt pris för det.
Intrång i cybersäkerheten lämnar en enorm ekonomisk buckla: Mer än 9 miljoner dollar för att åtgärda skador, enligt Poneman-rapporten. De flesta företag har sovit vid ratten när det gäller hot från tredje part i leveranskedjan.
Hopp är inte en strategi: att misslyckas med att ta itu med säkerhetshot från tredje part
IT-avdelningar står inför behovet av mer komplexa säkerhetsstrategier för att hantera hot från tredje part, men många företag har inte investerat i de verktyg eller anställda som behövs för att säkra fjärråtkomst och tredje parts identiteter.
Enligt Poneman-studien lägger mer än hälften av organisationerna upp till 20 % av sin budget på cybersäkerhet, men 35 % nämner fortfarande budget som ett hinder för stark säkerhet. Företagen motsätter sig också att investera i rätt tekniska lösningar. Till exempel förlitar sig 64 % av organisationerna fortfarande på manuella övervakningsprocedurer, vilket kostar i genomsnitt sju timmar per vecka för att övervaka tredjepartsåtkomst.
Dessutom saknar 48 % av de tillfrågade i Poneman-studien också de skickliga medarbetare som behövs för att stödja tekniska lösningar. Det finns ett tydligt samband mellan antalet erfarna personal som ett företag har och dess säkerhetsställning. För att lyckas behöver du både rätt teknik och personal för att använda den effektivt.
Hopp, blind tillit är inte strategier
Vid sidan av eftersläpningar i investeringar har många organisationers cybersäkerhetsprogram hamnat på efterkälken. Adekvata åtgärder vidtas inte för att säkra fjärråtkomst, vilket leder till att alldeles för många tredje parter kommer åt interna nätverk utan tillsyn.
Hela 70 % av de tillfrågade organisationerna rapporterade att ett brott från tredje part kom från att ge för mycket åtkomst. Men hälften övervakar inte åtkomsten alls – inte ens för känsliga och konfidentiella uppgifter – och endast 36 % åtkomst till dokument av alla parter. De tar helt enkelt en ”hoppas att det inte händer” tillvägagångssätt och förlitar sig på kontrakt med leverantörer och leverantörer för att hantera risker. Faktum är att de flesta organisationer säger att de litar på tredje part med sin information enbart baserat på företagets rykte.
Men hopp och blind tillit är inte strategier. Många dåliga skådespelare spelar ett långt spel. Bara för att leverantörer inte bryter dina system nu betyder det inte att hackare inte är inblandade i skadlig aktivitet oupptäckt, samlar information och studerar arbetsflöden för en senare tid.
Alla företag har inte ignorerat hot. Sjukvårdsindustrin har blivit ledande när det gäller att lösa säkerhetsproblem från tredje part på grund av behovet av att följa revisioner från tillsynsorgan. Tyvärr har den revisionsprocess som har sitt ursprung i vården och som har anammats av andra branscher inte resulterat i någon omfattande förbättring.
Inför den pågående utmaningen att lösa säkerhetsintrång från tredje part, eller det mer uppnåeliga målet att klara revisioner, fokuserar många IT-avdelningar på den enkla vinsten. De förblir ett steg efter hackare och försöker städa upp efter intrång istället för att förhindra dem.
Från att komma ikapp till att leda gruppen: Fem strategiska steg för att förhindra hot från tredje part
Trots den oroande prognosen finns det goda nyheter. Det finns sätt att lindra skadan från tredjepartsattacker och börja förhindra dem. Att inse behovet av korrekt förvaltning är det första steget. Istället för att hoppas på det bästa måste företag satsa på omfattande forskning och investeringar i verktyg och resurser. De kan börja med att implementera några grundläggande strategiska steg för att förhindra hot från leveranskedjan.
- Inventera alla tredje parter med tillgång till nätverk. Definiera och rangordna risknivåerna för känslig information och insistera på att dokumentera all nätverksåtkomst. Hälften av alla företag har idag otillräcklig synlighet av människor och affärsprocesser, vilket innebär att organisationer inte känner till nivån på åtkomst och behörigheter inom ett givet system. En grundläggande säkerhetsregel är att du inte kan skydda det du inte vet.
- Beväpnad med kunskapen om vem som har tillgång till vilken information, utvärdera behörigheter och sedan tillhandahålla och ta bort det som är nödvändigt. Ersätt öppen åtkomst med noll förtroendebaserade åtkomstkontroller och strikta övervakningsprocedurer. Minska komplexiteten i infrastrukturen och förbättra den interna styrningen.
- När du fattar svåra beslut om att bevilja åtkomst, överväg både risken och värdet som presenteras av varje leverantör och leverantör. Prioritera att säkra åtkomst för dina viktigaste leverantörer och arbeta dig igenom till mindre avgörande tredje parter.
- Var medveten om att när du begränsar åtkomsten till leverantörer och leverantörer kan det förekomma en viss pushback eftersom de från början känner att de inte är lika betrodda som tidigare. Att se till att kritiska leverantörer känner sig respekterade samtidigt som man ändrar status quo kan vara en slags dans eller förhandling. Parterna kan fås att känna sig integrerade ur affärsmässig synvinkel, även om strängare säkerhetsåtgärder upprätthålls.
- Att hitta resurser och anställda för att göra dessa förändringar är avgörande. Vissa företag kan välja att omfördela IT för att budgetera löner för nyanställningar. Om du börjar från grunden, tilldela någon att övervaka tredjepartshantering, vilket ger den personen befogenhet att implementera ett tredje parts åtkomstriskhanteringsprogram.
Oavsett vilken åtgärd en organisation väljer att vidta är det viktigt att starta så snart som möjligt. Företag kan förvänta sig att vänta flera månader till ett år innan de börjar se mätbara resultat. Men med en investering i tid, energi och resurser är det inte för sent. Smarta, proaktiva organisationer kan förvandla riskabla kontakter med tredje part till sunda, säkra relationer med pålitliga leverantörer och leverantörer. De kan sluta spela ikapp och börja leda flocken.
Joel Burleson-Davis är SVP för världsomspännande teknik för cyber på Imprivata