在Solarwinds的后果中了解第三方黑客

在后果 Solarwinds黑客 ,对您提供给同事,老板,甚至董事会的任何更新中更好地了解第三方黑客。您在Solarwinds上提供的任何此类更新肯定应该涵盖您的组织是否是300,000个Solarwinds客户之一,以及您是否是使用被黑客的特定版本的猎户座的18,000岁或以上的一个(2019.4版2020.2.1 HF1)。

第三方黑客Solarwinds

如果您使用的是被黑客攻击的版本,您当然应该报告您所做的事情,以调查是否有进一步妥协,您能够遵循CISA建议,调查结果是什么,您所做的结果受影响的系统,以及是否(与您的法律部门协商)您遭遇违规行为–但你绝对应该不会停止那里。

不同类型的第三方妥协

Solarwinds Hack只是第三方供应链妥协的一个例子。虽然Solarwinds Hack的规模肯定是新颖的,但第三方妥协不是。目标最初是通过其第三方HVAC供应商于2013年的第三方HVAC供应商损失,导致违反了超过4000万信用卡号码。

JPMORGANCHASE在2014年每年支出2.5亿美元的安全,部分原因是苏尔科数据系统,这是一个第三方供应商,帮助它运行其非营利性,慈善的马拉松比赛。美国人事管理办公室( opm. )从2015年被盗,超过2000万政府员工身份被盗,部分使用了OPM与Keypoint政府解决方案的员工共享的凭证,这是一个有助于其进行背景检查的第三方供应商。

多年来,第三方供应链妥协已经发生,大多数组织需要拥有一个适当的人员合奏和资助的子团队,专注于审核其第三方,并根据需要提高他们的安全,以匹配国家 - 国家威胁。

我们不再住在一个世界上,伸出一个人的手,并放弃如果有一个针对组织的国家攻击者。假设存在针对您的组织的国家状态。存在成本效益的防御,即使对国家州也可以抵御。如果您的组织不在那里,则不只是专注于Solarwinds更新–至少关注供应链安全的更广泛的需求,作为与您的首席执行官和董事会的首字母。

也就是说,供应商的妥协只是一种类型的第三方妥协或滥用。有许多其他类型的第三方可以受到损害(或滥用)。开发人员,合作伙伴,客户或潜在收购是示例。 2016年Cambridge Analytica滥用服务的开发人员是剑桥分析,是第三方滥用的一种形式。

在2017年的Dun和Bradstreet的情况下,其中一位客户有一个3300万业务联系人的数据库,然后从客户偷来。您的每位客户都是第三方,如果您销售或向他们提供敏感数据,您需要审查其安全性,因为违规者将归因于您最初的数据。

此外,如果您的组织收购了一家被违反的公司(或已经违反),您将“拥有”违规行为(例如,2018年万豪酒店,当时它收购了喜达伍德酒店,3.53亿客户唱片被盗)。

第三方妥协只是违规的1-6个常见根本原因

专注于供应商安全性的子团队不会自动解决可能发生的其他类型的第三方妥协或滥用问题。 Cisos需要了解一个组织在发生之前考虑的每一个潜在收购,并且需要遵循每个个人可识别的信息的路径( pii. )记录组织被委托,是否导致内部数据库或客户的数据库。

首席执行官和董事会需要了解供应链安全性不仅仅是有许多其他类型的第三方可能导致违规行为。在全面地教育您的同事,同行和管理者关于第三方风险,了解可能发生的许多类型的第三方风险。

最后,所有第三方风险只是违规的六个常见根本原因之一。其他根本原因是网络钓鱼,恶意软件,未加密数据,软件漏洞和无意的员工错误。虽然典型 合规标准 需要检查数百个复选框,对策的实际有效性,减轻最常见的根本原因可能更多。在与您的董事会讨论中,不要带领您的网络安全计划正在进行,以实现遵守ISO,NIST,PCI,HIPAA或其他标准。

违反违约的大多数组织都符合违反的标准–合规性不均匀安全。如果您的董事会在历史上专注于合规性(在审计委员会在许多Cisos向季度报告的审计委员会)上,则需要提升这些讨论,以重点关注业务的存在性风险以及最小化或删除的业务是什么他们。

您的组织是否需要聘请首席风险官(CRO),一名首席隐私官(CPO)和/或其他高管除了CISO处理各种类型的风险之外吗?他们应该向谁报告? CISO现在向CIO报告吗?这是足够的吗?是网络安全只是一个问题,或者比这更广泛吗?如果CISO如果目前不是CRO或CPO,则CISO会向首席执行官报告吗?

结论

虽然今天的讨论热门话题可能是Solarwinds,但它可能只是您组织与之合作的众多数百或数千名第三方之一。网络安全讨论应专注于保护组织免受存在的风险和所有违规的共同根本原因,包括第三方妥协。

分享这个