Lo que su empresa necesita saber sobre el components …



Al establecer un proceso y un marco, puede asegurarse de que no está dando a los atacantes más avanzados carta blanca a su entorno.

En Dun & Bradstreet&#39s 2019 «Sentimiento de cumplimiento y adquisiciones«Informe, los encuestados citaron la seguridad cibernética como su principal preocupación, sin embargo, el 48% no había integrado los riesgos asociados en su gestión de riesgos de terceros. Si bien el desarrollo e implementación de un programa de seguridad de la cadena de suministro puede ser desalentador, debería ser el primer elemento en su empresa para -hacer lista – con énfasis en la seguridad del hardware, que a menudo se le da poca importancia.

Los programas de seguridad de la información generalmente se centran en administrar parches de software program y mantener actualizados los motores antimalware y el equipo de seguridad de la purple. Como resultado, los componentes de hardware a menudo están desproporcionados, a pesar de que también son vulnerables a los atacantes avanzados y las amenazas de los estados nacionales. La manipulación de componentes físicos durante las etapas de construcción o rutas de transporte es una amenaza para todos los productos físicos. Las partes defectuosas causan retiros del mercado, y cuando la parte se basa en sistemas globales y contiene datos confidenciales, la escala de la carnicería potencial se vuelve exponencial. Atacar con éxito el firmware puede crear una vulnerabilidad que los atacantes codician porque, a diferencia de la mayoría de los ataques basados ​​en software program que se pueden solucionar restableciendo un dispositivo a sus valores predeterminados, muchos ataques de hardware pueden sobrevivir a la actualización del firmware o la reinstalación del sistema operativo.

Las amenazas a la cadena de suministro de components no son teóricas, y los equipos de seguridad necesitan desarrollar políticas más fuertes para mitigar las amenazas y los riesgos de la cadena de suministro. Asegurar la cadena de suministro debe ocurrir en varios niveles, cada uno con sus propias complejidades. El primer paso es garantizar que la cadena de suministro sea parte del modelo de amenaza de su organización. Como mínimo, una buena comprensión de los riesgos asociados con la cadena de suministro podría cambiar sus riesgos comerciales aceptables.

Aquí hay 10 mejores prácticas para diseñar un sólido programa de seguridad de la cadena de suministro.

1. Realizar un análisis de riesgos del negocio: El riesgo se determine como el costo de la pérdida del sistema multiplicado por la probabilidad de que la pérdida pueda ocurrir a través de una acción maliciosa. Tal análisis de riesgos puede ayudar a una organización a clasificar incidentes y priorizar mitigaciones. Eliminar los implantes de components de la cadena de suministro es un proceso costoso, y un análisis de riesgos puede sopesar los beneficios de implementar los controles en esta lista contra el costo de un incidente de seguridad. Puede que no tenga sentido para cada organización, o cada unidad de negocios dentro de una organización, priorizar las amenazas de los implantes de components. Determine primero el análisis de riesgos de su equipo antes de implementar cualquier medida de seguridad.

2. Crear y mantener un inventario de proveedores de hardware de terceros.: Esto debería ser una extensión del inventario de components y computer software ya dictado por su política organizacional.

3. Identifique los dispositivos que proporcionan funcionalidades y servicios críticos para el negocio.: Los dispositivos críticos se definen como cualquier hardware que es un punto único de falla en el modelo de seguridad de una organización o que implementa un servicio crítico relevante para la seguridad.

4. Realizar una evaluación de riesgos de terceros en cada proveedor / dispositivo crítico: Si es necesario, una vez que se full la evaluación, vuelva a evaluar el lenguaje contractual para incluir addendums de seguridad y cláusulas sobre los mandatos que mantiene su proveedor de servicios y una solicitud de prueba periódica de su cumplimiento continuo de los estándares de seguridad.

5. Establecer un plan de comunicación con cada proveedor crítico: Esto debería ser bidireccional y permitir que cada organización esté informada cuando surjan problemas que podrían aumentar la exposición al riesgo.

6. Cree y mantenga un rastreador de dependencia de computer software para el hardware de su organización: A través de esto, puede determinar si los servidores o dispositivos son vulnerables a fallas de seguridad en los componentes de program e iniciar discusiones con los proveedores sobre parches oportunos.

7. Establezca un proceso de evaluación para el hardware de terceros que se entrega a su organización: Esto puede incluir probar la seguridad de su components, establecer líneas de foundation de tráfico en un entorno de laboratorio y revisar la seguridad del proveedor de su proveedor.

8. Realizar el ingreso y el filtrado de salida: Haga esto en cualquier componente conectado a la pink, bloqueando que solicitudes inesperadas entren o salgan del entorno operativo.

9. Solicitar documentación y prueba de evaluación para dispositivos que implementan infraestructura crítica: Los dispositivos deben ser resistentes y estar sujetos a ataques físicos, locales y de crimson. Para resistir específicamente los implantes de components, se deben probar los controles antisabotaje y los esfuerzos de ingeniería inversa contra los dispositivos se deben limitar a través de controles técnicos.

10. Comprenda las cadenas de suministro de sus proveedores como parte del proceso de selección del sistema: Los proveedores deben poder compartir el origen de cada componente del dispositivo y proporcionar una visión basic de cómo se asegura el componente del fabricante al cliente.

Aunque estas recomendaciones no pueden evitar totalmente el compromiso del hardware de misión crítica, son una base para ayudar a mitigar su riesgo common.

La interdicción de hardware es una amenaza genuine, y las evaluaciones de seguridad de la cadena de suministro deben ser parte de los modelos de amenaza y estrategias de mitigación de riesgos de la mayoría de las organizaciones. Los ataques de hardware son únicos en el sentido de que proporcionan acceso y persistencia a niveles desafiantes y casi imposibles de abordar adecuadamente. Al establecer un proceso y un marco para abordar estas inquietudes, puede asegurarse de no dar a los atacantes más avanzados carta blanca a su entorno.

Contenido relacionado:

Daniel Wood (CISSP, GPEN) es el Vicepresidente Asociado de Consultoría en Bishop Fox, donde dirige todas las líneas de servicio y desarrolla iniciativas estratégicas. Tiene más de 15 años de experiencia en ciberseguridad y es un experto en la materia en equipo rojo, amenaza interna y … Ver biografía completa

Más tips





Enlace a la noticia original