비즈니스 및 공공 기관에 대한 사이버 공격의 위험이 증가하고 있습니다. 최근 몇 년 동안, 그룹과 관련 기업들 사이의 약한 방어를 목표로하는 "공급망 공격"의 위협이 증가했습니다. 이러한 이유로, 자체 회사뿐만 아니라 자회사 및 관련 회사에도 포괄적 인 슬롯 체험 조치가 필요합니다. 이 특별한 기능은 여러 회사의 슬롯 체험 조치를 진행하는 방법과 핵심 사항을 설명합니다.
공격자는 그룹 및 관련 회사의 가장 약한 부분을 목표로하고 있습니다
최근 몇 년 동안 사이버 공격의 위협이 증가하는 것은 "공급망 공격"입니다. 이것은 회사 공급망의 약한 슬롯 체험 영역을 공격하는 방법입니다. 이 공급망 공격은 IPA (Information Technology Promotion Agency)의 "10 주요 정보 슬롯 체험 위협 2021"에서 4 위를 차지했으며 조직에 대한 위협에서 4 위를 차지했습니다.
정보 유출 및 데이터 파괴와 같은 사이버 공격 손상이 흔하면서 기업 슬롯 체험 조치가 크게 발전했습니다. 공격자의 경우 주요 대상 회사의 본사, 실험실 및 데이터 센터와 같은 주요 위치로의 침입은 더 이상 예전처럼 쉽지 않습니다.
공급망 공격이 시작된 곳입니다. 현대에는 비즈니스가 한 회사만이 거의 완료되지 않습니다. 운영을 수행하려면 공급 업체, 유통 및 계약자와 같은 다양한 회사와 협력해야합니다. 여러 회사와 조직이 참여하는 공급망은 종종 엄격하고 느슨한 슬롯 체험 조치를 취하는 경향이 있습니다. 따라서 공격자들은 공급망의 가장 민감한 부분을 대상으로 공격을 시작합니다.
회사는 계약자의 유출에 대한 책임이 있습니다
공급망 공격의 예는 계약자가 관리하는 고객 정보가 유출되는 경우입니다. 이 경우 정보 유출을 위임 한 회사가이를 관리 해야하는 계약자의 책임이더라도 계약자가이를 관리 할 책임이있는 경우가 종종 있습니다. 정보 유출은 회사와 브랜드의 이미지를 심각하게 손상시킬 수 있습니다.
성공적인 침략 비즈니스 파트너를 디딤돌로 사용함으로써 대상 회사의 "Honmaru"가 점차 침략 될 수 있습니다. 예를 들어, 연락 담당자로부터 이메일을 받으면 매일 연락을 취하는 경우,받은 "Honmaru"를 담당하는 사람이 설치된 맬웨어가 설치된 첨부 파일을 열 수 있습니다. 특정 비즈니스 파트너와 긴밀히 협력하는 경우 공급망 공격의 위험이 높습니다. 따라서 관련 회사에 대한 침입은 공격자에게 매우 유리한 상황을 만듭니다.
또한 조직이 성장함에 따라 지사 및 자회사와 같은 사무실 이외의 그룹 회사의 수가 증가합니다. 기업 그룹 내 슬롯 체험 측정의 변형은 사이버 공격을 목표로 할 수 있습니다. 실제로, 전 세계적으로 배치 된 회사는 디딤돌로 해외 기지에 침입을 사용하여 일본 본부를 공격했습니다.
진정한 소프트웨어에 의해 오염 된 공급망 공격
공급망 공격 중 가장 중요한 위협은 IT 공급망 공격입니다. IT 공급망은 IT 시스템 및 서비스의 아웃소싱 및 조달의 한 형태이며, 시스템 및 서비스 (설계, 개발, 유통, 운영 및 폐기)를 구성하는 소프트웨어, 하드웨어 및 서비스의 전반적인 수명주기를 설명합니다. 공격자는 소프트웨어 개발자와 대상 조직에서 사용하는 다른 사람들에게 침투하려고 시도합니다. 소프트웨어 개발자가 성공적으로 침해되는 경우 공격자는 응용 프로그램 또는 서버에서 악성 코드 또는 백도어 (승인되지 않은 액세스를위한 루프)를 만들 수 있습니다.
이러한 방식으로 설치된 맬웨어는 소프트웨어 업데이트 및 기타 수단을 통해 비즈니스에 쉽게 침투 할 수 있습니다. 무단 코드는 합법적 인 소프트웨어에 포함되어 발견하기가 어렵고 일단 침입하기가 허용되면 심각한 손상을 일으킬 가능성이 높습니다.
우리는 또한 전 세계의 모든 끝에 공급망 공격에 대한 조치를 취할 것입니다
이러한 공급망 공격에 대한 방어는 기본적으로 일반적인 슬롯 체험 조치와 동일합니다. 먼저 소프트웨어를 최신 버전으로 업데이트하고 슬롯 체험 소프트웨어를 사용하여 비밀번호 관리 및 인증 강화와 같은 공급망 전체에서 조치를 철저히 구현해야합니다. 또한 공격자가 들어가는 것을 완전히 막는 것이 불가능하다고 가정 할 때 공격자가 들어가는 것을 방지하기위한 조치를 신속하게 감지하고 조치를 취하는 것이 중요합니다.
공급망이 그룹 회사 또는 자본을 가진 비즈니스 파트너로 구성된 경우 어느 정도의 시행 가능성으로 슬롯 체험 수준을 제어 할 수도 있습니다. 약점을 줄이기 위해 슬롯 체험 개념을 주변 방어에서 제로 트러스트로 옮길 수도 있습니다.
비즈니스 파트너 및 계약을 선택하기 위해 슬롯 체험 조항 추가
자본 관계가없는 회사의 독립 비즈니스 파트너와 동일한 슬롯 체험 조치를 강요하는 것은 현실적이지 않습니다. 대신, 많은 회사에는 고객 선택 및 계약에 슬롯 체험 조건이 포함됩니다.
회사가 비즈니스 파트너를 선택하면 비즈니스 이력과 재무 구조를 검토합니다. 우리는 이제 사이버 슬롯 체험 검토를 받고 일정 수준의 슬롯 체험에 도달 한 회사와의 거래 만 수행해야합니다. 슬롯 체험 수준 검토 방법에는 자체보고 체크리스트 및 타사 조직의 인증이 포함됩니다.
계약 종료시 전통적인 기밀 및 정보 파괴 외에도 슬롯 체험 감사에는 슬롯 체험 감사의 협력, 비즈니스 책임에 대한 제한, 사건에 대한 연락 및 대응에 대한 책임의 설명, 슬롯 체험 클로시 침해의 경우 처벌 및 손상에 대한 책임의 설명이 포함됩니다.
비즈니스 부서가 이러한 검토를 수행하고 계약 조항을 개별적으로 설정하면 비즈니스 성장의 우선 순위를 정하고 형식이 될 수 있습니다. 이를 방지하기 위해서는 규정 준수를 우선시하려는 경영진의 강력한 약속을 바탕으로 법률 업무 부서 및 검토 부서와 같은 비즈니스 부서 이외의 조직에서 관리해야합니다.
물론 비즈니스 파트너는 자체 슬롯 체험 정책이 있으므로 계약 세부 사항과 실제 슬롯 체험 조치를 조정해야합니다. 초점을 맞추는 가장 중요한 것은 공급망 전체의 사이버 슬롯 체험에 대한 위기 감을 공유하고 함께 조치를 취하는 것입니다.
공급망 공격 개요
대상 회사의 슬롯 체험 방어는 관련 조직의 약점을 목표로합니다
- 이 기사는 Tokio Marine Holdings Co., Ltd.의 Harada Dai와의 인터뷰를 기반으로합니다.
- 이 기사는 정보 잡지 "Meltopia (No. 258)에 게시 된 내용의 재 인쇄입니다.
Tokio Marine Holdings Co., Ltd.
원칙MR. 하라다 다이
Tokio Marine Holdings의 글로벌 슬롯 체험으로서, 국내 및 해외에서 그룹 회사의 사이버 슬롯 체험 전략 및 홍보를 담당 할 것입니다. Tokio Marine Holdings에 합류하기 전에 그는 주요 국내 슬롯 체험 사업의 북미 지사 회장으로 재직했으며 미주의 비즈니스 전략 계획, 비즈니스 및 조직 관리 개발에 참여했습니다. 슬롯 체험 산업에서 20 년 이상의 경험. 그는 CISSP-ISSAP, CSSLP, CISA, CISM, CRISC 및 PMP와 같은 국제 인증을 보유하고 있습니다. 일본에서는 이전에 IPA 정보 처리 엔지니어 시험위원회의 일원으로서 IT 인원의 개발에 기여했습니다.
