Le violazioni dei dati di terze parti sono un rischio maggiore, con il 62% delle intrusioni di rete legate a vulnerabilità dei fornitori. Questi attacchi sfruttano i fornitori di servizi per accedere ai dati sensibili, influenzando più organizzazioni contemporaneamente. Sono anche costosi - con un costo medio di 9,44 milioni di dollari per incidente negli Stati Uniti nel 2024. Ecco cosa devi sapere:
- Rischi più grandi: La detezione tardiva di violazioni (66% richiede mesi o anni per essere scoperte), ritardi dei fornitori e sfide di indagine.
- Esempi: L'attacco di ransomware di UnitedHealth Group del 2024 ha interrotto le operazioni a livello nazionale. L'incidente di violazione di AT&T del 2024 ha esposto 100 milioni di registrazioni dei clienti.
- Passaggi di Risposta: Isolare i sistemi compromessi, revocare l'accesso dei fornitori, applicare patch di emergenza e comunicare rapidamente con i stakeholders.
- Suggerimenti di Prevenzione: Condurre valutazioni di sicurezza regolari dei fornitori, utilizzare strumenti di monitoraggio e adottare un modello di sicurezza zero-trust.
L'azione rapida e una gestione dei fornitori solida sono cruciali per minimizzare i danni e proteggere la tua organizzazione.
Passaggi da Eseguire nelle Prime 24 Ore Dopo un Incidente di Sicurezza di Terze Parti
Ostacoli comuni di risposta
Le violazioni di terze parti spesso portano a risposte ritardate, amplificando i danni causati. Ecco alcune sfide chiave che ostacolano le risposte efficaci alle violazioni.
Ritardo nella scoperta della violazione
Uno dei maggiori ostacoli è il tempo necessario per scoprire una violazione. Un impressionante 66% degli incidenti richiede mesi o anche anni per essere scoperto [3]Questo ritardo non solo rende più difficile la contenimento, ma anche aumenta il danno complessivo, allungando la media vita della violazione a 307 giorni - 12,8% più lunga delle violazioni rilevate direttamente [4].
Esempio: le scuole pubbliche di Chicago. A dicembre 2021, si verificò una violazione attraverso il fornitore Battelle for Kids. Tuttavia, non fu fino ad aprile 2022 che la violazione fu resa pubblica, esponendo i dati personali di 500.000 studenti [2].
“La linea di fondo è che ci sono organizzazioni che vengono violate ogni giorno senza avere idea che sia successo. L'hacker sta ottenendo accesso al sistema - seriamente, cosa c'è di meglio per continuare a ottenere una corrente di dati? Trovi una vulnerabilità che sfrutta.”
– Adam Goslin, Total Compliance Tracking [3]
Il problema dei fornitori
I fornitori e le catene di fornitura complesse aggiungono spesso strati di difficoltà alle risposte alle violazioni. Ad esempio, l'incidente di UnitedHealth Group del 2024 evidenzia questo problema. Un attacco ransomware su Change Healthcare, scatenato da credenziali compromesse attraverso un terzo partito Citrix portale, ha interrotto la fatturazione sanitaria a livello nazionale [6].
“Siamo più dipendenti dai fornitori che mai. I fornitori stanno memorizzando, elaborando o trasmettendo dati a nome tuo. Tuttavia, sono i tuoi dati, quindi è la tua responsabilità proteggere le informazioni dei tuoi clienti, i tuoi dipendenti e la tua istituzione, indipendentemente dal luogo in cui risiedono i dati.”
– Cody Delzer, Consulente Principale presso SBS CyberSecurity [5]
Limitazioni dell'indagine
L'indagine delle violazioni è un altro grande ostacolo, spesso a causa di una scarsa comprensione delle pratiche dei fornitori, contratti complessi, insufficienti risorse di sicurezza e fornitori poco collaborativi. L'incidente di AT&T in marzo-aprile 2024 è un caso di studio. Le vulnerabilità in una piattaforma cloud di terze parti hanno esposto oltre 100 milioni di registrazioni dei clienti, portando infine a un pagamento di riscatto di 370.000 dollari [6].
Allo stesso modo, il Sisense incidente di aprile 2024 sottolinea queste sfide. I hacker hanno sfruttato le credenziali hardcoded in un repository GitLab di un fornitore terzo, creando problemi di sicurezza significativi [6].
“Anche con tutti i dati giusti che risiedono all'interno dell'organizzazione come un aggregato, è molto facile fallire nel mettere insieme tutte le parti del puzzle a causa di una mancanza di coordinamento.”
– Jason Mical, AccessData [3]
Passaggi e metodi di risposta
È essenziale prendere azioni rapide per contenere i danni, conformarsi alle normative e informare i stakeholders quando si risponde a un incidente.
Passaggi di contenimento dell'incidente
La rapida contenimento è critico - i dati mostrano che le violazioni coinvolgendo terze parti richiedono 12,8% più tempo per risolvere rispetto a quelle dirette [4].
Prendere L'esperienza di Toyota nel marzo 2022 è un esempio. Una violazione presso il suo fornitore,Kojima Industries , ha costretto la società a interrompere le operazioni in 14 impianti in Giappone, influenzando un terzo della sua produzione globalePer limitare i danni, concentriamoci su questi passaggi chiave: [1].
Isolare i sistemi e i punti di accesso del fornitore compromessi per prevenire ulteriori infiltrazioni
- Monitorare i sistemi interni per attività insolite che potrebbero segnalare minacce in corso
- Applicare patch di emergenza Isolare i sistemi e i punti di accesso del fornitore compromessi per prevenire ulteriori infiltrazioni
- Monitorare i sistemi interni per attività insolite che potrebbero segnalare minacce in corso risolvere le vulnerabilità note immediatamente.
- Verifica e revoca i permessi di accesso dei terzi non necessari per rafforzare la sicurezza.
Una volta contenuti i sistemi interessati, il passo successivo è una comunicazione chiara e tempestiva.
Linee guida per la comunicazione
Dopo la contenimento, una comunicazione trasparente e rapida è fondamentale per mantenere la fiducia e adempiere agli obblighi legali.
Un punto di contatto dedicato dovrebbe gestire tutte le comunicazioni relative alla violazione, assicurando un messaggio coerente e azionabile. Per le violazioni che coinvolgono dati finanziari, offrire almeno un anno di monitoraggio gratuito dei crediti può aiutare a rassicurare gli individui interessati [7].
| Canale di comunicazione | Scopo | Tempistica |
|---|---|---|
| Notifiche dirette | Informare gli individui interessati | All'interno di termini legali |
| Aggiornamenti del sito web | Fornire informazioni pubbliche | Istantaneo e continuo |
| Briefings per stakeholder | Aggiornare gli investitori e i partner | Entro 24-48 ore |
| Relazioni regolamentari | Rispettare i requisiti di conformità | Come richiesto legalmente |
La comunicazione chiara stabilisce le basi per il ripristino dell'integrità del sistema attraverso aggiornamenti sicuri.
Distribuzione di aggiornamenti sicuri
Una volta gestita la crisi immediata, la priorità diventa quella di distribuire aggiornamenti di sicurezza in modo efficace. L'obiettivo è patchare le vulnerabilità mentre si minimizza la dislocazione.
Ecco tre strategie da considerare:
- Distribuzione a Rotazione: Le aggiornamenti vengono distribuiti in modo incrementale su server, garantendo la disponibilità continua del sistema.
- Distribuzione Blu/Cielo: Questa approccio utilizza ambienti paralleli, consentendo il rollback istantaneo se si verificano problemi.
- Monitoraggio Automatico: L'automazione del processo di monitoraggio garantisce che gli aggiornamenti siano riusciti e che qualsiasi errore venga identificato rapidamente.
Per i sistemi basati su app, strumenti come Capgo abilitano aggiornamenti crittografati senza richiedere l'approvazione dell'app store, consentendo di patchare le vulnerabilità velocemente e in modo sicuro.
Prevenzione e Gestione del Rischio
Le recenti scoperte evidenziano la necessità urgente di strategie preventive più solide e misure di sicurezza più stringenti per i fornitori [8][11]. Si prevede che gli attacchi alla catena di fornitura aumentino del 15% annualmente fino al 2031 [9], le organizzazioni devono concentrarsi su valutazioni rigorose dei fornitori e monitoraggio costante
Valutazione della Sicurezza del Fornitore
Un sorprendente 54% delle organizzazioni fallisce nell'effettuare una valutazione adeguata dei propri fornitori terzi [8]. Il caso MoveIt del 2023 serve da ammonimento netto - ha colpito 2.300 organizzazioni e ha causato 10 miliardi di dollari in danni [12]. Questo caso sottolinea i rischi di trascurare la screening dei fornitori appropriato
| Componente di Valutazione | Scopo | Tempistica |
|---|---|---|
| Scegliere iniziale | Valuta la posizione di sicurezza base | Pre-impegno |
| Profili di rischio | Esegui una dettagliata revisione dei pericoli | Durante l'onboarding |
| Verifica della conformità | Controlla l'allineamento regolamentare | Trimestralmente |
| Rivista dei controlli di sicurezza | Valuta i salvaguardi tecnici | A metà dell'anno |
Le organizzazioni dovrebbero concentrarsi sull'evaluazione dei fornitori a rischio elevato attraverso un processo strutturato. Gli strumenti come UpGuard's Cyber Security Ratings possono fornire informazioni sui vulnerabilità dei fornitori, consentendo azioni rapide per mitigare i potenziali rischi [10].
Strumenti di Monitoraggio della Sicurezza
L'indirizzo delle vulnerabilità richiede valutazioni proattive dei fornitori e monitoraggio continuo. Gli strumenti di Monitoraggio della Sicurezza Continua (CSM) svolgono un ruolo chiave nella detezione delle minacce e nell'abilitare risposte tempestive.
- Rilevamento di Minacce in Tempo Reale: Utilizzare sistemi automatizzati per identificare anomalie nel momento in cui si verificano.
- Monitoraggio dei Controlli di Accesso: Tracciare e validare gli accessi e i modelli di utilizzo dei terzi.
- Tracciamento della Conformità: Assicurarsi che venga mantenuta l'adesione continua ai standard e alle norme di sicurezza.
Azhar C., Analista di Sicurezza e Compliance IT, nota, “Splunk cattura e elabora in modo efficiente i dati aziendali per consentire decisioni proattive” [17].
Unito a un monitoraggio robusto, l'adozione di un modello di sicurezza zero-trust aggiunge un altro strato di sicurezza per proteggere gli asset critici.
Modello di Sicurezza Zero-Trust
Con il costo medio di un incidente di dati superiore a 3 milioni di dollari [16], il modello zero-trust è diventato essenziale. Questa approccio si basa sul principio di “non fidarsi mai, verificare sempre” [15]. Un esempio notevole è l'implementazione zero-trust di Microsoft, che centralizza la gestione dei dispositivi e applica controlli di accesso rigorosi [14].
Per implementare con successo il zero-trust, le organizzazioni dovrebbero:
- : Definire Superfici di Protezione: Identificare asset critici e mappare le dipendenze del sistema e i punti di accesso.
- Implementare Controlli di Accesso: Utilizzare il Metodo di Kipling (chi, cosa, quando, dove, perché e come) per applicare accessi condizionali. [13].
- Monitorare e Adattare: Raccogliere dati di telemetria, valutare i rischi e raffinare le politiche di sicurezza in base alle informazioni di intelligence sulle minacce più recenti.
Conclusioni
Affrontare i problemi e implementare strategie efficaci per gestire gli incidenti è cruciale per garantire la sicurezza della propria organizzazione. Ecco una visione più approfondita degli step e degli strumenti necessari per una risposta robusta.
Risposta Passaggi
I primi 24 ore dopo la scoperta di una violazione da parte di un terzo soggetto sono assolutamente cruciali. Un'azione rapida e decisa può ridurre significativamente il danno e aiutare a mantenere la fiducia con i stakeholder [4]Per rimanere in anticipo sulle conseguenze, le organizzazioni dovrebbero concentrarsi su questi passaggi critici:
- Stabilire una comunicazione immediata con il fornitore per comprendere la portata della violazione.
- Raccogliere tutti i dettagli rilevanti relativi all'incidente per valutare l'impatto potenziale.
- Isolare i sistemi interessati per prevenire una diffusione ulteriore.
- Iniziare gli sforzi di rimediazione il prima possibile per contenere la violazione.
Interessantemente, le ricerche mostrano che l'impiego di intelligence sulle minacce può ridurre di quasi un mese il tempo necessario per rilevare le violazioni - 28 giorni, per essere precisi [4]. Questo è un grande vantaggio per prevenire ulteriori danni.
Panoramica delle Strumentazioni di Sicurezza
Il costo finanziario delle violazioni da parte di terze parti è impressionante. Nel 2024, le aziende hanno affrontato un costo medio di 4,88 milioni di dollari per violazione [18]. Ciò sottolinea l'importanza di avere le giuste strumentazioni di sicurezza in atto. Le piattaforme moderne offrono una gamma di funzionalità progettate per rafforzare le difese, tra cui:
- Monitoraggio in tempo reale delle attività dei fornitori e l'accesso ai sistemi sensibili.
- Valutazioni di sicurezza automatizzate per identificare le vulnerabilità prima che diventino problemi.
- Distribuzione di aggiornamenti sicuri attraverso canali di distribuzione protetti per garantire l'integrità del sistema.
Le conseguenze di non essere preparati possono essere gravi. Ad esempio, AT&T ha affrontato una multa di 13 milioni di dollari dopo una violazione che ha coinvolto un fornitore di telecomunicazioni terze parti e ha esposto i record di 8,9 milioni di clienti nel dicembre 2023 [19]. Ciò serve da ammonimento netto dell'importanza di soluzioni di risposta rapida centralizzate che si allineano con i requisiti regolatori.
FAQs
::: faq
Quali sono le migliori strategie per rilevare in anticipo i furti di dati da terze parti e ridurre il potenziale danno?
Rilevare in anticipo i furti di dati da terze parti richiede una strategia attiva e vigilante. Le organizzazioni dovrebbero concentrarsi su monitoraggio continuo e condurre valutazioni di rischio per tutti i loro fornitori di terze parti. Iniziare raggruppando i fornitori in base ai loro livelli di rischio, definendo limiti di tolleranza chiari e utilizzando strumenti automatizzati per tenere d'occhio le loro misure di sicurezza.
Le revisioni regolari e le revisioni di sicurezza giocano un ruolo importante nel rilevare le vulnerabilità prima che possano essere sfruttate. Una comunicazione chiara e aperta con i fornitori è altrettanto importante - assicura che le informazioni sui pericoli vengano condivise velocemente, consentendo risposte più rapide. Inoltre, gli strumenti di rilevamento avanzati che analizzano il traffico di rete e i registri dei sistemi possono aiutare a segnalare attività anomale, rendendo più facile intervenire prima che una violazione si aggravhi.
Adottando queste pratiche, le organizzazioni possono ridurre il potenziale danno e rispettare le normative. Gli strumenti come Capgo possono supportare ulteriormente questi sforzi offrendo aggiornamenti in tempo reale e correzioni per le applicazioni mobili, aiutando le imprese a rispondere rapidamente a nuove minacce. :::
::: domande frequenti
Cosa dovrebbe fare un'organizzazione immediatamente dopo scoprire un incidente di dati di terze parti?
Se il tuo organismo si trova di fronte a un incidente di dati di terze parti, agire velocemente e in modo sistematico è essenziale per ridurre i danni e conformarsi alle richieste legali. Inizia con contenere l'incidente per fermare qualsiasi accesso non autorizzato e proteggere i sistemi interessati. Ciò potrebbe significare disabilitare gli account compromessi, chiudere le piattaforme colpite o revocare le autorizzazioni per prevenire ulteriori esposizioni di informazioni sensibili.
Successivamente, valutare la portata e l'impatto dell'incidente. Identifica i dati accessi, come potrebbero essere abusati e i rischi posti a coloro che sono stati coinvolti. L'ingresso di esperti forensi può spesso aiutare a scoprire dettagli chiave e fornire una visione più chiara della gravità dell'incidente. Con questa informazione in mano, assicurati di informato tutte le parti necessarie senza indugio. Ciò include le persone interessate, i partner commerciali e qualsiasi autorità regolamentare richiesta dalla legge.
Una volta che la crisi immediata è sotto controllo, prendi l'opportunità di revisionare la tua risposta e rafforza le tue misure di sicurezza per proteggersi da futuri incidenti. Ad esempio, strumenti come Capgo sono particolarmente utili per gli app mobili, consentendo aggiornamenti e correzioni in tempo reale mentre si mantiene la conformità con le linee guida di Apple e Android. :::
::: faq
Come un modello di sicurezza zero-trust aiuta a proteggersi da furti di dati di terze parti?
A un modello di sicurezza zero-trust è progettato per proteggersi da furti di dati di terze parti implementando controlli di accesso rigorosi e verificando continuamente ogni utente e dispositivo, indipendentemente dalla loro posizione. Questo principio di 'non fidarsi mai, verificare sempre' significa che ogni richiesta di accesso deve essere autenticata e autorizzata prima che siano accessibili sistemi o dati sensibili.
Eliminando la fiducia cieca, zero-trust riduce i punti di ingresso potenziali per gli attaccanti e limita i danni che potrebbero derivare da una connessione di terze parti compromessa. Offre anche una maggiore visibilità sulle attività degli utenti e sul movimento dei dati, rendendo più facile rilevare e rispondere rapidamente a azioni sospette. Questo approccio è cruciale per gestire i rischi legati alle integrazioni di terze parti e garantire l'adeguamento ai requisiti di sicurezza. :::
