Pag-atake sa kadena sa suplay: Gipunting sa mga kriminal sa cyber ang mga taghatag sa software

IMAHE CREDIT:
Kredito sa litrato
iStock

Pag-atake sa kadena sa suplay: Gipunting sa mga kriminal sa cyber ang mga taghatag sa software

Pag-atake sa kadena sa suplay: Gipunting sa mga kriminal sa cyber ang mga taghatag sa software

Subheading nga teksto
Ang mga pag-atake sa kadena sa suplay naghulga sa mga kompanya ug tiggamit nga nagtarget ug nagpahimulos sa software sa usa ka vendor.
    • Author:
    • Ngalan sa tagsulat
      Quantumrun Foresight
    • Pebrero 9, 2023

    Ang mga pag-atake sa kadena sa suplay usa ka nagkadako nga kabalaka alang sa mga negosyo ug organisasyon sa tibuuk kalibutan. Kini nga mga pag-atake mahitabo kung ang usa ka cybercriminal molusot sa supply chain sa usa ka kompanya ug gamiton kini aron ma-access ang mga sistema o datos sa target nga organisasyon. Ang mga sangputanan sa kini nga mga pag-atake mahimong grabe, lakip ang mga pagkawala sa pinansyal, pagkadaot sa reputasyon sa usa ka kompanya, pagkompromiso sa sensitibo nga kasayuran, ug pagkabalda sa mga operasyon. 

    Konteksto sa pag-atake sa kadena sa suplay

    Ang pag-atake sa kadena sa suplay usa ka cyberattack nga nagpunting sa software sa ikatulo nga partido, labi na kadtong nagdumala sa mga sistema o datos sa target nga organisasyon. Sumala sa 2021 nga "Threat Landscape for Supply Chain Attacks" nga taho, 66 porsyento sa mga pag-atake sa kadena sa suplay sa miaging 12 ka bulan nagtarget sa code sa sistema sa supplier, 20 porsyento nga target nga datos, ug 12 porsyento nga gipunting ang mga internal nga proseso. Ang malware mao ang labing sagad nga gigamit nga pamaagi sa kini nga mga pag-atake, nga nagkantidad sa 62 porsyento sa mga insidente. Bisan pa, ang dos-tersiya sa mga pag-atake sa mga kustomer nagpahimulos sa pagsalig sa ilang mga supplier.

    Usa ka pananglitan sa pag-atake sa kadena sa suplay mao ang pag-atake sa 2017 sa kompanya sa software, CCleaner. Ang mga hacker nakahimo sa pagkompromiso sa software supply chain sa kompanya ug nag-apod-apod sa malware pinaagi sa mga update sa software, nga nakaapekto sa minilyon nga tiggamit. Gipasiugda niini nga pag-atake ang potensyal nga mga kahuyangan sa pagsalig sa mga third-party nga provider ug ang kamahinungdanon sa lig-on nga mga lakang sa seguridad aron mapanalipdan batok niini nga mga pag-atake.

    Ang nagkadako nga pagsalig sa mga third-party providers ug komplikado nga digital supply chain network mao ang mga nag-unang kontribusyon sa pagtubo sa digital supply chain nga mga krimen. Samtang ang mga negosyo nag-outsource sa labi pa sa ilang mga operasyon ug serbisyo, ang gidaghanon sa mga potensyal nga entry point alang sa mga tig-atake nagdugang. Ang kini nga uso labi nga nabalaka kung bahin sa gagmay o dili kaayo luwas nga mga supplier, tungod kay mahimo’g wala sila parehas nga lebel sa mga lakang sa seguridad sa lugar sama sa mas dako nga organisasyon. Ang laing hinungdan mao ang paggamit sa karaan o wala pa ma-patch nga software ug mga sistema. Ang mga cybercriminal kanunay nga nagpahimulos sa nahibal-an nga mga kahuyangan sa software o mga sistema aron makakuha og access sa digital supply chain sa usa ka kompanya. 

    Makasamok nga epekto

    Ang mga pag-atake sa kadena sa suplay mahimong adunay grabe nga dugay nga kadaot. Usa ka pananglitan sa taas nga profile mao ang pag-atake sa cyber sa Disyembre 2020 sa SolarWinds, nga naghatag software sa pagdumala sa IT sa mga ahensya sa gobyerno ug negosyo. Gigamit sa mga hacker ang mga update sa software sa pag-apod-apod sa malware sa mga kostumer sa kompanya, lakip ang daghang ahensya sa gobyerno sa US. Mahinungdanon kini nga pag-atake tungod sa kadako sa pagkompromiso ug sa kamatuoran nga wala kini makit-an sa daghang mga bulan.

    Mas grabe pa ang kadaot kung ang target nga kompanya naghatag hinungdanon nga serbisyo. Ang usa pa nga pananglitan kaniadtong Mayo 2021, sa dihang ang global nga kompanya sa pagkaon nga JBS naigo sa usa ka pag-atake sa ransomware nga nakabalda sa mga operasyon niini sa daghang mga nasud, lakip ang US, Canada, ug Australia. Ang pag-atake gihimo sa usa ka kriminal nga grupo nga nailhan nga REvil, nga nagpahimulos sa pagkahuyang sa software sa ikatulo nga partido sa kompanya. Ang insidente nakaapekto usab sa mga kustomer sa JBS, lakip na ang mga meatpacking plants ug mga grocery store. Kini nga mga kompanya nag-atubang sa kakulang sa mga produkto sa karne ug kinahanglan nga mangita mga alternatibo nga gigikanan o i-adjust ang ilang mga operasyon.

    Aron mapanalipdan batok sa mga pag-atake sa digital supply chain, hinungdanon alang sa mga negosyo nga adunay lig-on ug flexible nga mga lakang sa seguridad sa lugar. Kini nga mga lakang naglakip sa pagpahigayon sa bug-os nga tungod sa kakugi sa mga third-party nga providers, kanunay nga pag-update ug pag-patch sa software ug mga sistema, ug pagpatuman sa lig-on nga mga palisiya sa seguridad ug mga pamaagi. Mahinungdanon usab alang sa mga kompanya nga maedukar ang ilang mga empleyado kung unsaon pag-ila ug pagpugong sa mga potensyal nga pag-atake, lakip ang mga pagsulay sa phishing.

    Mga implikasyon sa pag-atake sa kadena sa suplay 

    Ang mas lapad nga mga implikasyon sa mga pag-atake sa kadena sa suplay mahimong maglakip sa:

    • Ang pagkunhod sa paggamit sa third-party nga software ug mas dako nga pagsalig sa in-house nga mga solusyon alang sa sensitibo nga datos, ilabi na sa mga ahensya sa gobyerno.
    • Nadugangan nga mga badyet alang sa internal nga naugmad nga mga lakang sa cybersecurity, labi na sa mga organisasyon nga naghatag hinungdanon nga serbisyo sama sa mga utilities ug telekomunikasyon.
    • Nagkadaghan nga insidente sa mga empleyado nga nabiktima sa mga pag-atake sa phishing o wala tuyoa nga nagpaila sa malware sa mga sistema sa ilang tagsa-tagsa ka kompanya.
    • Ang mga zero-day nga pag-atake nahimong kasagaran samtang ang mga cybercriminal nagpahimulos sa mga software developers nga nagpatuman sa regular nga pag-update sa patch, nga mahimong adunay daghang mga bug nga mahimo niining mga hacker.
    • Ang nagkadaghang paggamit sa mga etikal nga hacker nga gisuholan sa pagpangita sa mga kahuyangan sa mga proseso sa pagpalambo sa software.
    • Daghang mga gobyerno ang nagpasa sa mga regulasyon nga nanginahanglan sa mga vendor nga maghatag usa ka kompleto nga lista sa ilang mga third-party nga supplier, ingon man ang potensyal nga pag-audit sa mga proseso sa pagpalambo sa software.

    Mga pangutana nga ikomento

    • Pila ka mga third-party nga apps ang imong gisaligan alang sa adlaw-adlaw nga negosyo, ug pila ka access ang imong gitugotan?
    • Unsa ka dako nga seguridad ang imong gituohan nga igo alang sa mga tigbaligya sa ikatulo nga partido?
    • Kinahanglan ba nga molihok ang gobyerno aron ipatuman ang mga sumbanan sa regulasyon alang sa mga tigbaligya sa ikatulo nga partido?

    Idugang sa lista

    Mga pakisayran sa panabut

    Ang mosunod nga popular ug institusyonal nga mga sumpay gi-refer alang niini nga panabut:

    Quartz Unsa ang supply chain cyber attack?
    CSO Ang mga pag-atake sa kadena sa suplay nagpakita kung ngano nga kinahanglan ka magbantay sa mga tighatag sa ikatulo nga partido
    Pagdumala sa Supply Ang kadena sa suplay sa cyber nga pag-atake sa 'quadruple.'
    idugang sa listahan
    mga pakisayran sa forecast
    tags
    Kategoriya
    Business
    ekonomiya
    Infrastructure
    Technology
    Industry
    economics
    logistics
    Teknolohiya sa Tingpamaligya
    Imprastraktura sa Server
    Supply Chain
    PAGSUSI SA QUANTUMRUN FORESIGHT'S SERBISYO
    Ang plataporma sa panglantaw Mga serbisyo sa pagkonsulta sa panan-aw
    BALIK SA HOMEPAGE
    Icon
    Adto sa ibabaw