์ฌ์ ๋ฆฌ๋
์ฐ์์ ์ธ ๋ชจ๋ํฐ๋ง: ๊ณต๊ธ๋ง ์ํ ๊ด๋ฆฌ์ ๋ณด์ ๊ฒฉ์ฐจๅกซ่ฃ
공급망은 글로벌 경제를 유지하는 핵심입니다. 그러나 사이버 관련 비즈니스 위험의 주요 원천이기도 합니다. 2021년과 2024년 사이에 공급업체를 대상으로 한 공격은 431% 증가했으며, 예상에 따르면 계속 증가할 것으로 예상됩니다. 이는 공급업체와 거래하는 기업들에게는 나쁜 소식입니다. IBM 추정에 따르면 제3자 벤더의 위반은 데이터 침해 비용 중 가장 높은 비용을 초래하는 유형 중 하나입니다. 이는 위반당 약 4.9백만 달러의 비용이 소요됩니다.
위험 및 사이버 리더의 도전은 기존의 위험 관리 메커니즘이 불완전하다는 것입니다. 이러한 메커니즘은 느리고, 자원 집약적이며, 블라인드 스폿이 많을 수 있습니다. 진정한 공급업체 위험 관리는 연속적인 감독과 통제에서 비롯됩니다.
공급망의 불가역적인 성장
복잡하고 단편적인 공급망은 글로벌 상거래가 요구하는 대가입니다. 지난 10년 동안 이러한 공급망은 소비자의 선택과 낮은 비용의 요구에 따라 성장했습니다.同時에 디지털 공급망도 소프트웨어로서의 서비스(SaaS), 관리 서비스 제공자(MSP) 및 비즈니스 요구에 따라 혁신적이고 효율적인 작업 방식을 도입하면서 엄청난 성장을 이루었습니다.
결과는 투명성이 필요한 곳에서 불투명성이 발생하고, 비즈니스 위험이 증가하여 이익과 고객 충성도를 위협할 수 있습니다. 한 추정에 따르면, 평균 중소기업은 800개의 공급업체를 가지고 있습니다. 공급업체의 공급업체를 포함하면 수치는 곧 수천 개의 비즈니스로 증가합니다.
위험한 사업
이것은 CISO와 그 팀에게 나쁜 소식입니다. 그들은 광범위한 공급망에서 발생하는 불가피한 사이버 보안 위험을 관리하는 방법을 찾아야 합니다. 벤더와 공급망의 위반은 지난 해 데이터 침해의 15%를 차지했습니다. 버라이즌은 실제로 지난 1년 동안 이 숫자가 두 배로 증가하여 30%에 달한다고 주장합니다. 실제 숫자가 무엇이든, 실제 사건에서 발생할 수 있는 피해는 명백합니다.
아웃소싱 업체와 전문 서비스 회사 gibi 제3자들은 고객 조직의 매우 민감한 접근 자격 증명과 기타 데이터를 보관할 수 있습니다. 이는 고객과 직원에 대한 고유한 개인 식별 정보(PII) 또는 지적 재산, 무역 비밀 또는 비공개 재무 데이터일 수 있습니다. 이러한 모든 데이터는 디지털 강도범에게 큰 매력입니다. 강도범은 데이터를 훔치거나 암호화하여 대금을 요구할 수 있습니다. 제3자 위반은 2024년에 랜섬웨어 공격의 41%를 차지했습니다. 한 연구에 따르면, 제3자 위반은 랜섬웨어 공격의 41%를 차지했습니다.
공급업체가 증가함에 따라 기업 사기와 같은 위험도 증가합니다. 예를 들어, 비즈니스 이메일 위협(BEC)과 같은 경우입니다. 위협 행위자는 금융 팀의 구성원이나 고위 임원에게 가짜 송금 요청을 하는 이메일을 보낼 수 있습니다. 공격을 성공시키기 위해 클라이언트/공급업체 이메일 계정을 해킹하여 통신을 모니터링하고 송금이 어떻게 진행되는지 이해할 수 있습니다. FBI에 보고된 BEC 손실은 지난 해 거의 2.8억 달러에 달했습니다. 이는 두 번째로 많은 사이버 범죄 유형입니다.
그런 다음 공급업체의 공급업체가 있습니다. 2023년 보고서에 따르면, 연구된 조직의 절반 이상이 과거 2년 동안 침해를 당한 200개 이상의 4차 공급업체와 간접적으로 관계를 맺고 있었습니다. 공급업체가 작을수록 사이버 보안에 투자할 수 있는 자원이 적을 수 있습니다.
AI는 해커에게 선물
AI 기술은 사이버 범죄자들이 성공률을 높이기 위해 점점 더 많이 사용되고 있습니다. 실제로, 영국 정부 전문가들은 이번 년도에 이 기술이 “サイバー 침입 작전의 일부 요소를 더 효율적이고 효율적으로 만들 것”이라고 경고했습니다.
우리는 생성된 AI가 지역 언어로 자연스럽고 완벽한 피싱 캠페인을 생성하는 방식에서 이것을 볼 수 있습니다. 또한 시스템의 약점을 탐색하고 대상 선택을 도와주는 방식에서 볼 수 있습니다. 그리고 악성 코드와 악성 코드를 생성하는 데 도움이 될 수 있는 방식에서 볼 수 있습니다. 이것이为什么 AI가 향후 2년 동안 사이버 위협의 빈도와 강도를 증가시킬 것이라고 보고서가 경고하는 이유입니다.
보안 사고의 유형과 정도에 따라, 침해된 공급업체의 고객은 금전적, 평판적 손실, 규제 위험 및 운영 중단을 경험할 수 있습니다. 사고가 발견되지 않는 시간이 길수록, 위협 행위자가 네트워크 내에서 더 많은 시간을 보낼 수 있으며, 결국에는 사고를 청소하고 복구하는 데 더 많은 비용이 소요됩니다. 불행히도, 공급망의 위반은 해결에 가장 오래 걸리는 것으로 나타났습니다. IBM에 따르면, 이는 해결에 가장 오래 걸리는 유형입니다.
예를 들어, 최근에 대형 랜섬웨어 침해가 발생한 BPO 공급업체인 Conduent의 경우, 1,100만 명 이상의 미국人が 사회 보장 번호, 건강 보험 정보 및 의료 정보를 노출할 수 있었습니다. 보고에 따르면, 이 회사의 환경은 2024년 10월에 이미 침해된 것으로 믿어집니다.
연속적인 모니터링이 중요한 이유
幸い, AI는 공급업체 사이버 위험 관리의 일반적인 도전을 극복하는 데에도 도움이 될 수 있습니다. 많은 조직은 느리고 수동적인 과정과 길고 시간이 걸리는 설문조사로 인해 지연과 가시성 블라인드 스폿을 경험합니다. 일관되지 않은 공급업체 문서는 위험 점수를 비교하고 비즈니스에 무엇이 가장 중요한지 이해하는 것을 어렵게 만듭니다.
대신, 데이터와 AI 중심의 접근 방식을 사용하면 자동화가 온보딩과 그 이후에 중대한 역할을 할 수 있습니다. 후자는 중요합니다. 왜냐하면 위험은 공급업체가 승인된 후에停止되지 않기 때문입니다.それは 매시간 또는 매일마다 새로운 소프트웨어 취약점, 데이터 침해 또는 잘못 구성된 계정으로 인해 진화할 수 있습니다. 공급업체는 사이버 공격 표면을 증가시키는 새로운 인프라에 투자할 수 있습니다. 그들은 자신의 공급업체를 추가하여 위험 노출을 변경할 수 있습니다. 또한 새로운 위협 행위자 캠페인에 의해 표적될 수 있습니다.
이 모든 것은 제3자 위험 관리에 대해 더 적극적인 접근 방식을 요구합니다. 이는 공급업체 설문조사와 문서를 수집하고 처리하는 것을 넘어섭니다. 그것은 위험을 실시간으로 식별하여 조직이 손상을 입히기 전에 신속하게 조치를 취할 수 있도록 하는 것입니다.
AI 시작하기
공급업체 사이버 위험에 대한 360도, 연속적인 통찰력을 얻는 것은 많은 데이터와 이러한 패턴을 의심스럽게 표시하는 지능형 알고리즘이 필요합니다. 높은 품질의 데이터일수록 가시성이 더 좋습니다. 이는 암흑 웹 포럼에서 침해의 초기 경고 신호를 검색하는 위협 인텔리전스 피드를 포함할 수 있습니다. 또는 공급업체 재산에서 누락된 보안 업데이트를 강조하는 취약성 모니터링을 포함할 수 있습니다. 또한 공급업체 재무 부서에서 이메일 손상을 증거하는 것을 추적하여 BEC 공격을 예상할 수 있습니다. 또는 공급업체와 관련된 의심스러운 트랜잭션 패턴을 포함할 수 있습니다.
AI는 실시간으로 임계 위험을 식별하여 즉시 조치를 취할 수 있습니다. 또한 클라이언트 정책, 태세 및 비즈니스에 대한 중요성에 따라 각 공급업체에 연속적으로 업데이트되는 위험 점수를 자동으로 할당할 수 있습니다.
에이전트 AI는 또한 복잡한 공급업체 문서를 분석하고, NIST CSF 또는 ISO 27001과 같은 확립된 프레임워크에 대한 통제를 매핑하여, 몇 분 만에 규정 준수 가시성을 제공할 수 있습니다. 이는 보안 및 위험 팀이 더 높은 가치의 작업에 집중할 수 있도록 시간을 절약할 수 있습니다. 성숙한 조직에서는 AI 에이전트가 독립적으로 루틴 문제를 해결하고 복구하거나 적절한 팀원에게 신속하게 주의를 돌릴 수 있습니다.
모두 함께
중요한 것은 공급업체 사이버 위험 관리를 위한 시스템이 통일되어 위험 데이터가 고립되고 사용할 수 없게 되지 않는 것입니다. 이상적으로, 동일한 플랫폼은 규정 준수, 지속 가능성, 재무 및 운영과 같은 영역에서 다른 유형의 공급업체 위험 관리도 가능해야 합니다. 이는 더 나은 비즈니스 결정을 내릴 수 있는 정보를 제공해야 합니다.
가장 중요한 것은 사이버 위험이 본질적으로 비즈니스 위험이라는 것을 기억하는 것입니다. 그것은 결코 제거될 수 없습니다. 그러나 더 효과적으로 관리할 수 있습니다.
