IBM TechXchange Korean CyberSecurity User Group (한국 사이버보안 사용자 그룹)

  Third-party risks are widespread in the supply chain and can cause substantial damage. Loss of revenue and sensitive information, operational downtime, legal complications, compliance issues and damaged reputations can all arise from a single breach.
  If your company lacks a reliable third-party risk management plan, it’s almost impossible to bring in vendors without exposure to risks from cyber threats. This article will explore ways to effectively manage third-party risks so you can confidently bring vendors on board.
  First, let’s look at the case of a significant supply chain attack.



데이터 노출과 판매자 리스크에 대한 위험한 사례/  Data Exposure and Vendor Risks: A Cautionary Tale

거대한 공급망 공격에 대한 정확한 예시는 최근에 일어난 옥타 침해 사건 입니다. 이 사례에서 랩서스로 알려진 해커집단들은 옥타 그 자체가 아닌 외부업체를 타겟으로 하는 공급망 공격을 수행하였습니다. 공격자들은 사이텔(Sitel) 지원 엔지니어에게 접근을 하여, 옥타의 리소스에 접근을 하고 단일 워크스테이션의 통제권을 적극 사용하였습니다.

옥타의  침해는  웨스턴 유니온, 알리, 아말가마티드 은행과 같은 여러 금융기관을  공격에 노출시켰습니다. 이 침해는 만약 기업이 외부솔루션 제공자에 적합한 기업관리 프로그램 없이 의지할때 일어날 수 있는 위협의 사례를 보여줍니다. 

안타깝게도, 외부 서비스 공급업체는 튼튼한 사이버 보안 프레임워크와, 통제, 전략들을 도입하는데 있어 적극적이지 않습니다. 따라서 기업들은 반드시 외부업체리스크를 관리할 수 있는 프로그램을 알아보고, 공급망에 안에 있는 판매자들에 대한 상황을 판단하고, 소통을 빠르게 하여. 보안의 사고발생시 공급망의 리스크를 최소한으로 줄여야 합니다. 

  A perfect example of a significant supply chain attack is the recent Okta breach. In this case, a hacking group known as Lapsus$ carried out a supply chain attack that targeted Okta’s customers instead of Okta itself. The threat actors had access to a Sitel support engineer with entry into Okta’s resources and actively used that to control a single workstation.
  The Okta breach exposed several financial institutions to attacks, including Western Union, Ally and Amalgamated Bank. The breach demonstrates what happens when organizations depend on third-party solution providers without a proper third-party risk management program.
  Unfortunately, third-party service providers may be lax in implementing robust cybersecurity frameworks, controls and strategies. Therefore, organizations should explore a third-party risk management program that can assess vendors in the supply chain, communicate about threats and respond quickly to security incidents to minimize supply chain risks.

왜 외부업체 리스크 관리가 중요할까요? / Why is Third-Party Risk Management Important?

외부업체 리스크에 대한 관리가 당신의 비즈니스에 얼마나 많은 영향을 끼치는지 위 사례에서 보았기에, 이제는 왜 그것을 관리하는 것이 기본적인 일인지에 대해서 알아봅시다. 

무엇보다 외부업체의 리스크 관리는 보안에 있어서 제일 중요합니다. 이것은 기업이 외부 벤더들과 함께 일을 할때 발생 할 수 있는 위협으로 부터 당신을 보호해 줍니다. 당신 회사의 공급망에 접근을 하지 못하는 것은  당신의 회사를 잠재적인 데이터 침해와 공급망 공격에 노출시키는 것입니다.

아쉽게도, 공급망공격은 기업의 재정을 어렵게 만들 수 있습니다. 사실 IBM의 2022년도의 데이터 침해 리포트에 따르면, 데이터침해의 평균비용은 전세계적으로 435만 달러에 달하였습니다. 그러나 공급망 공격에 대해 세밀한 정비책이 있다면, 기업을 지키는데 있어서 발생되는 비용을 줄일 수 있습니다. 


  Now that you’ve seen how much third-party risks can affect your business, let’s explore why managing them is essential.
  First, third-party risk management is key to a company’s security. It protects the company from the risks of working with third-party vendors. Failure to assess your business’s supply chain exposes your organization to potential data breaches and supply chain attacks.
  Unfortunately, supply chain attacks can financially devastate your business. In fact, according to the 2022 Cost of a Data Breach report by IBM, the average cost of a data breach was $4.35 million globally. But with finely tuned remedies for supply chain attacks, you can drive down these costs while keeping your organization protected.

공급망에서 외부업체 위헙을 관리하는 방법 / How Do You Manage Third-Party Risks in the Supply Chain?

외부업체들은 기업을 상당한 위험에 노출시킵니다. 그러나 어떻게 이 위협을 최소화 할 수 있을까요? 당신이 회사의 공급망 보안을 개선시키기 위한 효과적이 전략을 만들기 원한다고 가정해 봅시다. 이 경우 시작하기 가장 좋은 것은 외부업체와 기업간의 관계를 이해하는 것 입니다. 

이러한 접근방식은 회사에서의 가용할 수 있는 리소스에 따라 발라질 수 있습니다.  몇가지 포인트들은 당신이 공금망 위협을 해결할 수 있게 해 주는데 아래의 내용들이 포함됩니다. 

• 회사의 이해관계자들에게 귀사의 공급망 프로세스를 교육할 것 
• 제 3의 외부 리스크에 대해서 믿고 맡길 만한 방법을 찾을 것 
• 귀사의 외부업체 위협에 얼마나 수용할 수 있는지를 사전에 정의할것 
• 외부위협 리스크를 모니터링하과 지속적으로 분석하기 위한 시스템을 만들 것 
• 귀사에 중요한 데이터에 접근하는 사람들을 긴밀하게 추적할것
• 가장 중요한 자산이 무엇인지를 확인하고 이 것이 놓여있는 위치를 파악할 것 
• 사이버보안에 대한 요구사항들이 벤더의 계약사항 안에 포함되어 있는지를 확인할 것 
• 위협대응에 대한 계획을 주기적으로 테스트 해볼 것 

• Educating your company’s stakeholders about your supply chain process
• Ensuring you have a reliable method for handling third-party risks
• Defining your company’s third-party risk tolerance
• Creating a system for continually assessing and monitoring third-party risks
• Closely tracking people who have access to crucial data in your company
• Understanding the most vital assets in your company and identifying their location
• Ensuring that vendor contracts include cybersecurity requirements
• Periodically testing an incident response plan.

결론적으로 / In Summary

기업들은 외부업체의 리스크를 관리하기 위해서 다양한 전략을 수행할 수 는 있지만, 이 침해에 대한 안전을 보장 할 수 없는 상황입니다. 이제 외부 위협은 기업으 보안 위협의 중심에 있기 때문에 항상 경계할 필요가 있습니다.  귀사는 외부업체 및 파트너와 관련한 글로벌 분석과 평가를 도와줄 수 있는 IBM 보안팀으로 부터 외부지원을 받을 수 있습니다.  IBM의  외부기업관리 서비스는 외부보안과 운영 활동에 대한 가시성을 제공하며, 외부업체와 컴플라이언스를 관리할 수 있는 다각적인 보안방법을 제공합니다.

리스크 관리 서비스를 자세히 알아보고 또는 비용이 들지 않는 워크샵을 통해서 외부업체 리스크 관리에 대해서 더 알아보시기 바랍니다.

  While companies can implement a wide range of strategies to manage third-party risks, there’s no guarantee of safety from breaches. Therefore, it’s important to stay vigilant, as third-party risks are now at the forefront of organizational threats.
  In addition, your company can source support from the IBM Security team, which helps firms worldwide assess and analyze risks associated with third-party vendors and partners.
  IBM Security’s third-party risk management services bring transparency to third-party security and operational activities, providing a scalable way of managing third-party risk and compliance.
  Explore our risk management services or schedule a no-cost workshop today to learn more about third-party risk management for your company.


https://securityintelligence.com/posts/how-to-manage-third-party-supply-chain-risks/