아웃소싱의 어두운 면: 공급망 공격의 급증을 막는 방법

점점 친숙해지는 시나리오입니다. 인기있는 온라인 서비스를 제공하는 평판이 좋은 회사가 데이터 유출의 피해자가 되었음을 밝힙니다. 사이버 공격자는 고객 이름, 전화 번호 및 신용 카드 데이터를 훔쳤으며 상황을 바로잡기 위해 할 수 있는 일은 거의 없습니다.

DoorDash, Plex 및 LastPass와 같은 유명 회사는 최근 모두 타사의 피해자가 되었습니다. 공급망 공격하지만 그들은 확실히 혼자가 아닙니다. “Treading Water: The State of Cybersecurity and Third-Social gathering Distant Entry Threat”에 따르면 5개 산업 분야의 600명 이상의 미국 보안 전문가에 대한 보고서입니다. 폰만 연구소 — 타사 공격은 작년 이후 44percent에서 49percent로 증가했습니다.

응답자의 39percent만이 타사 직원이 위반 사실을 알릴 것이라고 확신했기 때문에 실제 공격 수는 더 많을 수 있습니다. 이러한 공격의 급증을 막으려면 이러한 추세를 유발하는 시장 상황과 문화적 요인, 그리고 왜 그렇게 많은 기업이 문제를 해결하기 위한 현대적인 솔루션을 구현하지 못하는지 면밀히 살펴봐야 합니다.

해킹의 천국: 신속한 디지털 트랜스포메이션과 아웃소싱

그래서, 이 증가 뒤에 무엇이 공급망 공격? 두 단어로 표현하면 문화적 변화입니다. 이전에 오프라인으로 운영되던 많은 산업이 SaaS 및 클라우드 기술의 도움으로 디지털 시대로 성숙하고 있으며, 팬데믹과 원격 근무로의 전환으로 인해 가속화된 추세입니다. 기업이 시스템 현대화에 돌입함에 따라 악의적인 공격자는 완벽한 목표를 찾습니다.

여기에 또 다른 시장 트렌드인 아웃소싱을 추가하십시오. 약 20년 전만 해도 조직이 핵심 비즈니스 부분의 제어를 아웃소싱하는 것은 전례가 없었지만, 부분적으로 The Nice Resignation 덕분에 산업이 디지털 혁신을 겪고 동시에 노동력 부족을 처리함에 따라 조직에 의존하는 것이 훨씬 더 일반적입니다. 타사 공급업체 및 서비스 제공업체.

효율성과 편의성을 위해 타사를 활용하고 클라우드 기술을 활용하여 시장에 새롭고 매력적인 가치를 제공하려는 움직임은 그 자체로 나쁜 결정이나 개발이 아니지만 악의적인 해커의 공격 표면이 거의 기하급수적으로 확장되고 있음을 의미합니다.

오늘날 제3자 침입을 해결하는 임무를 맡은 IT 전문가들은 열기를 느끼고 있습니다. 회사는 다양한 수준의 성공을 통해 개선하고 있으며 때로는 다른 취약점을 수정하려고 시도하면서 더 많은 취약점을 생성하기도 합니다. 좋은 의도에도 불구하고 대부분의 조직은 지난 몇 년 동안 제3자 보안에서 진전을 이루지 못했고 이에 대해 높은 대가를 치릅니다.

Poneman 보고서에 따르면 사이버 보안 침해로 인해 막대한 재정적 손실이 발생합니다. 피해 복구에 900만 달러 이상이 소요됩니다. 대부분의 회사는 제3자 공급망 위협에 관해서는 졸고 있습니다.

희망은 전략이 아니다: 타사 보안 위협을 해결하지 못하는 것

IT 부서는 타사 위협을 처리하기 위해 보다 복잡한 보안 전략이 필요하지만 많은 회사에서 원격 액세스 및 타사 ID를 보호하는 데 필요한 도구나 직원에 투자하지 않았습니다.

Poneman 연구에 따르면 조직의 절반 이상이 사이버 보안에 예산의 최대 20percent를 지출하고 있지만 35percent는 여전히 예산을 강력한 보안의 장벽으로 꼽았습니다. 기업은 또한 올바른 기술 솔루션에 대한 투자를 거부합니다. 예를 들어 조직의 64percent는 여전히 수동 모니터링 절차에 의존하고 있으며 타사 액세스를 모니터링하는 데 주당 평균 7시간의 비용이 듭니다.

또한 Poneman 연구 응답자의 48percent는 기술 솔루션을 지원하는 데 필요한 숙련된 직원이 부족합니다. 회사의 숙련된 직원 수와 보안 태세 사이에는 분명한 상관 관계가 있습니다. 성공하려면 올바른 기술과 이를 효과적으로 사용할 인력이 모두 필요합니다.

희망, 맹신은 전략이 아니다

투자 지연과 함께 많은 조직의 사이버 보안 프로그램이 뒤처졌습니다. 원격 액세스를 보호하기 위한 적절한 조치가 취해지지 않아 너무 많은 제3자가 감독 없이 내부 네트워크에 액세스하게 됩니다.

설문 조사에 참여한 조직의 70percent는 너무 많은 액세스 권한을 부여하여 타사 위반이 발생했다고 보고했습니다. 그러나 절반은 민감한 기밀 데이터의 경우에도 액세스를 전혀 모니터링하지 않으며 모든 당사자의 문서 액세스는 36percent에 불과합니다. 그들은 위험을 관리하기 위해 공급업체 및 공급업체와의 계약에 의존하여 “일어나지 않기를 바라는” 접근 방식을 취합니다. 실제로 대부분의 조직은 비즈니스 평판만을 기반으로 한 정보로 타사를 신뢰한다고 말합니다.

그러나 희망과 맹목적인 신뢰는 전략이 아닙니다. 많은 나쁜 배우들이 긴 게임을 합니다. 공급업체가 현재 시스템을 손상시키지 않는다고 해서 해커가 탐지되지 않은 악의적인 활동에 연루되어 나중에 정보를 수집하고 워크플로를 연구하지 않는다는 의미는 아닙니다.

모든 회사가 위협을 무시한 것은 아닙니다. 의료 산업은 제3자 문제 해결의 선두주자가 되었습니다. 보안 문제들 규제 기관의 감사를 준수해야 하기 때문입니다. 안타깝게도 의료 분야에서 시작되어 다른 산업에서 채택된 감사 프로세스는 광범위한 개선을 가져오지 못했습니다.

제3자 보안 침해를 해결해야 하는 지속적인 과제 또는 감사 통과라는 보다 달성 가능한 목표에 직면한 많은 IT 부서는 손쉬운 승리에 초점을 맞춥니다. 그들은 침해를 방지하는 대신 침해 후 정리를 시도하면서 해커보다 한 발짝 뒤쳐져 있습니다.

추격에서 선두로: 타사 위협을 방지하기 위한 5가지 전략적 단계

걱정스러운 예후에도 불구하고 좋은 소식이 있습니다. 타사 공격으로 인한 피해를 완화하고 방지할 수 있는 방법이 있습니다. 적절한 관리의 필요성을 인식하는 것이 첫 번째 단계입니다. 기업은 최고를 기대하기보다는 도구와 리소스에 대한 상당한 연구와 투자에 전념해야 합니다. 그들은 공급망 위협을 방지하기 위한 몇 가지 기본 전략 단계를 구현하는 것으로 시작할 수 있습니다.

• 네트워크에 액세스할 수 있는 모든 타사의 인벤토리를 가져옵니다. 민감한 정보에 대한 위험 수준을 정의하고 순위를 매기며 모든 네트워크 액세스를 문서화하도록 요구합니다. 오늘날 모든 회사의 절반은 사람과 비즈니스 프로세스에 대한 가시성이 부족합니다. 즉, 조직이 주어진 시스템 내에서 액세스 및 권한 수준을 알지 못합니다. 보안의 기본 규칙은 알지 못하는 것은 보호할 수 없다는 것입니다.
• 누가 어떤 정보에 액세스할 수 있는지 알고 권한을 평가한 다음 필요한 정보를 프로비저닝 및 디프로비저닝합니다. 오픈 액세스를 제로 트러스트 기반 액세스 제어 및 엄격한 모니터링 절차로 대체하십시오. 인프라의 복잡성을 줄이고 내부 거버넌스를 개선합니다.
• 액세스 권한 부여에 대해 어려운 결정을 내릴 때 각 공급업체 및 벤더가 제공하는 위험과 가치를 모두 고려하십시오. 덜 중요한 제3자를 통해 작업하면서 가장 중요한 공급업체에 대한 액세스 보안을 우선적으로 처리하십시오.
• 공급업체 및 공급업체에 대한 액세스를 제한할 때 처음에는 이전만큼 신뢰받지 못한다고 느끼기 때문에 약간의 반발이 있을 수 있습니다. 중요 공급업체가 존중받는다고 느끼게 하는 동시에 현상 유지를 변경하는 것은 일종의 춤이나 협상일 수 있습니다. 보다 엄격한 보안 조치가 유지되는 경우에도 당사자는 비즈니스 관점에서 일체감을 느낄 수 있습니다.
• 이러한 변화를 위한 리소스와 직원을 찾는 것이 중요합니다. 일부 회사는 신입 직원의 급여 예산 책정에 IT를 재할당하도록 선택할 수 있습니다. 처음부터 시작하는 경우 타사 관리를 감독할 사람을 지정하여 해당 사람에게 타사 액세스 위험 관리 프로그램을 구현할 권한을 부여합니다.

조직이 어떤 조치를 취하기로 선택하든지 가능한 한 빨리 시작하는 것이 중요합니다. 기업은 측정 가능한 결과를 보기 시작하기 전에 몇 개월에서 1년을 기다릴 수 있습니다. 그러나 시간, 에너지 및 자원에 투자하면 너무 늦지 않습니다. 현명하고 능동적인 조직은 제3자와의 위험한 연결을 신뢰할 수 있는 공급업체 및 공급업체와의 건전하고 안전한 관계로 전환할 수 있습니다. 따라 잡기를 멈추고 무리를 이끌 수 있습니다.

Joel Burleson-Davis는 Imprivata의 사이버 글로벌 엔지니어링 SVP입니다.