La possibilità che offre l'era digitale è un'arma a doppio taglio. Da un lato, la maggiore connessione è un chiaro vantaggio, dall'altro la diffusione delle risorse ha come conseguenza una minore visibilità rispetto alla loro sicurezza. È uno scenario del tipo "non si può vivere con, non si può vivere senza" con il quale le aziende dovranno fare i conti. E il rischio dei fornitori di terze parti rappresenta una minaccia critica e coloro che si evolvono per superarla sono quelli che la conoscono meglio.
Il rischio dei fornitori terzi
Per capire il fenomeno, partiamo da qualche anno fa. Gli attacchi alla supply chain sono aumentati del 300% nel 2021 e Forrester dichiarò che nel 2022 6 incidenti di sicurezza su 10 sarebbero stati causati da terze parti.
Uno studio internazionale di KPMG ha rivelato che quasi 3 intervistati su 4 hanno subìto almeno un'interruzione significativa causata da terzi negli ultimi tre anni. Non sorprende che, in base allo stesso studio, il numero di aziende che esamineranno proprie le terze parti per verificarne i rischi, salirà a 1 su 3 entro il 2025. Un rapporto di intelligence sulle minacce di Intel471 indica che il numero di organizzazioni che hanno subito una violazione dei dati da parte di terzi è superiore alla metà (51%).
Un altro problema è che la definizione di "terze parti" è più ampia di quanto la maggior parte delle aziende possa pensare. Come ha commentato Alla Valente, analista senior di Forrester, sulla scia di Log4j, alle aziende è stato ricordato di nuovo che "il software open-source è software di terze parti". Il codice del sistema operativo è ampiamente utilizzato dalle nuove aziende cloud-native e queste startup esperte si inseriscono nella catena di fornitura del software o fungono da hub. I bug latenti del sistema operativo potrebbero essere distribuiti all'interno del nuovo software, a causa di una lacuna nella catena.
"Le terze parti sono fondamentali per il raggiungimento degli obiettivi aziendali ma allo stesso tempo ciascuna di esse è un canale di violazione e un vettore di attacco possibile. Pertanto, se le vostre terze parti non possono operare a causa di un cyberattacco, di un incidente o di un'interruzione operativa, ciò avrà un impatto sulla vostra azienda", ha spiegato Valente. "È una preoccupazione enorme, perché le aziende non possono smettere di lavorare con i fornitori esterni".
Alla Valente ha osservato che molte aziende sono passate dall'efficienza "just-in-time" alla resilienza "just-in-case" dopo la pandemia, assumendo una serie di fornitori terzi per raggiungere questi obiettivi. Ora, queste decisioni prese in emergenza gli si stanno ritorcendo contro.
Le terze parti rappresentano sempre un rischio per la sicurezza, poiché le loro abitudini di sicurezza individuali sono un mistero. Sono compatibili con le vostre? Hanno gli stessi standard? E se non li hanno, come possiamo saperlo?
Le migliori pratiche di sicurezza
Esistono modi per rimanere fuori dalla zona di pericolo dovuta a terze parti. Questo tipo di best practice di sicurezza può richiedere una maggiore scrupolosità rispetto a quella a cui sono abituate alcune aziende, ma l'alternativa è equivalente a portarsi dietro una bomba ad orologeria.
Nell'ambito della gestione del rischio informatico di terze parti (TPRM), esistono diverse best practice fondamentali per la mitigazione del rischio di terze parti.
• Rivedere frequentemente le politiche di gestione delle terze parti | Secondo lo stesso rapporto, meno della metà (43%) esegue questa fase con regolarità. L'automazione delle politiche di gestione delle terze parti è un modo utile per tenere sotto controllo questo aspetto.
• Imparare dalle violazioni di terzi | Cosa le ha causate? Che cosa si è imparato? Come farà l'azienda a prevenire simili attacchi in futuro? Queste sono le domande cruciali alle quali rispondere per tramutare un attacco in un valore aggiunto.
• Migliorare la visibilità attraverso i report SOC | In una recente indagine PwC 2022 Global Digital Trust Survey, il 75% dei dirigenti ha dichiarato che le loro organizzazioni sono eccessivamente complesse, con conseguenti rischi di cybersecurity. Solo uno su tre ha dichiarato che la propria comprensione della terza parte proveniva da una valutazione a livello aziendale; il resto era limitato, ad hoc o inesistente. La richiesta di un rapporto SOC (System and Organization Controls) può fornire trasparenza sull'ambiente di controllo delle terze parti.
• Capitalizzare l'automazione | Tenere traccia dei partner terzi sarà più semplice con processi automatizzati. Oltre a prevenire configurazioni errate, una politica di sicurezza automatizzata può "consolidare tutte le informazioni pertinenti per consentire una più facile comprensione e persino avvisare le aziende dei rischi emergenti".
• Seguire il principio del minimo privilegio | Ove possibile, mantenere controlli di accesso granulari riguardo quali informazioni finiscono in quali mani. Secondo uno studio di settore, del 44% di coloro che hanno subito un attacco nell'ultimo anno, quasi tre su quattro hanno dichiarato che ciò è dovuto al fatto di aver fornito a terzi troppe informazioni.
L'approccio di ZeroFox
Sapere che le terze parti sconosciute comportano un rischio intrinseco è sufficiente per indurre molte aziende a non avvalersene. Tuttavia, Gartner osserva che le aziende che si rifiutano di espandere il proprio ecosistema "saranno probabilmente superate da quelle che decidono coraggiosamente di cogliere il valore delle relazioni con le terze parti". Si tratta di fare o morire, ma fare richiede una vasta conoscenza, una supervisione critica, e una certa diligenza.
È qui che entra in gioco ZeroFox.
Alla Valente di Forrester afferma: "L'investimento nella tecnologia TPRM è elevato". Per ZeroFox, TPRM significa incorporare l'intelligence di terze parti nella propria strategia e supervisionare tutti i rischi dei partner in una unica piattaforma centralizzata. L'intelligence di terze parti consiste in:
• Valutazione periodica del rischio
• Esame dei piani di attacco emergenti nell’ambiente del cybercrimine contro la vostra azienda o i suoi affiliati.
• Rilevamento e monitoraggio dell'intera catena di fornitura digitale.
• Prova di un'esposizione di dati
• Interruzione dell'infrastruttura dell'aggressore, con conseguente prevenzione degli attacchi.
ZeroFox sfrutta "l'unico insieme di dati sulle minacce davvero completo e che comprende lo storico delle campagne e delle infrastrutture degli aggressori" per produrre requisiti di sicurezza su misura per l’azienda. Combinando l'elaborazione dell'intelligenza artificiale, gli agenti di dark ops e gli strumenti di deep learning, ZeroFox è in grado di setacciare i dataset della superficie, del deep e del dark web.
Questa visibilità approfondita si estende al di là della rete e alle reti di terze parti, fornendo un quadro completo dell’esposizione totale al rischio quando si affrontano partner e fornitori in tutto il mondo. Questo quadro viene presentato in una soluzione completa di cybersecurity esterna che non solo fornisce informazioni sulle minacce, ma anche protezione, interruzione e risposte.
La piattaforma ZeroFox unifica la scoperta delle risorse, la protezione dal rischio digitale, l'intelligence sulle minacce a tutto campo, la politica e l'analisi di sicurezza, la notifica degli avvisi e il flusso di lavoro, l'interruzione delle attività malevoli e la reportistica, consolidando tutti gli elementi del vostro programma TPRM in un unico sistema completo.
Tenere il passo con gli obiettivi aziendali in espansione non deve significare rimanere indietro nella sicurezza. Con ZeroFox, non sarà mai così.
Per vedere l'articolo originale, fare clic qui.