AI Crazy
New member
Mối quan hệ bảo mật giữa nhà cung cấp và khách hàng dựa trên hợp đồng và niềm tin đang lộ nhiều hạn chế. Thay vì chỉ hứa hẹn, các nhà cung cấp cần chứng minh an toàn bằng bằng chứng liên tục và đo được.
Trong nhiều năm, quan hệ an ninh mạng giữa nhà cung cấp và khách hàng chủ yếu dựa trên hợp đồng và niềm tin. Mô hình này giờ đang cho thấy dấu hiệu lạc hậu khi các cuộc tấn công qua bên thứ ba ngày càng phổ biến: chỉ trong năm gần đây, 51% tổ chức tại Anh báo cáo vi phạm liên quan đến nhà cung cấp bên thứ ba.
Các cuộc tấn công mạng gia tăng cả về tần suất lẫn mức độ thiệt hại, thậm chí khi kẻ tấn công sử dụng kỹ thuật không quá tinh vi. Do đó, cách nhà cung cấp trấn an khách hàng chỉ bằng lời nói hoặc chứng nhận tĩnh đã không còn đủ; tuân thủ giấy tờ chỉ là mức tối thiểu chứ không đồng nghĩa với khả năng phục hồi thực sự.
Hợp đồng và cam kết bằng văn bản hiếm khi bảo vệ tổ chức một cách thực tế, và khách hàng thường thiếu tầm nhìn thực sự về trạng thái an ninh của nhà cung cấp. Những bộ hồ sơ, bảng câu hỏi và hàng loạt chứng chỉ đang che phủ đi yêu cầu về khả năng bảo vệ được chứng minh bằng thực tế, khiến việc “đánh dấu tích” được đặt cao hơn việc chứng minh độ mạnh của hệ thống.
Cần chuyển từ nói sang cho thấy: bằng chứng quan trọng hơn lời hứa. Mô hình an ninh dựa trên bằng chứng đòi hỏi nhà cung cấp chủ động chứng minh rằng cách tiếp cận bảo mật của họ có thể đo lường được, mạnh mẽ và hiệu quả. Trong bối cảnh mối đe dọa ngày nay, tuân thủ không đồng nghĩa với khả năng chống chịu; chỉ có phương pháp chủ động và liên tục mới đem lại kết quả.
Vấn đề là các đánh giá một thời điểm nhanh chóng trở nên lỗi thời khi hệ thống thay đổi, công nghệ tiến lên và mã nguồn được cập nhật. Một nhà cung cấp được đánh giá là an toàn tại thời điểm cấp chứng nhận vẫn có thể mang rủi ro chỉ sau vài tuần nếu không có quy trình quản lý lỗ hổng liên tục.
Việc xây dựng tầm nhìn toàn diện về lỗ hổng trong toàn tổ chức thường gặp nhiều khó khăn. Không ít nhà cung cấp chọn cách làm ngơ có chủ ý để tiết kiệm chi phí, đổi lấy việc tăng rủi ro mà khách hàng phải chịu.
Ngay cả khi lỗ hổng mới được phát hiện, khách hàng thường rất ít hoặc không có khả năng nắm bắt. Cách tiếp cận ad hoc với an ninh bên thứ ba tạo ra một dạng “mù lòa có cấu trúc” nơi rủi ro tồn tại nhưng không được nhìn thấy. Do đó, nhà cung cấp cần chuyển sang liên tục phát tín hiệu về hoạt động và khả năng phục hồi an ninh, thay vì trông chờ vào những cam kết tĩnh.
Về mặt thực tiễn, điều này có nghĩa là kiểm thử xâm nhập liên tục. Khi nhà cung cấp chỉ kiểm tra không thường xuyên hoặc theo cách vụn vặt, đội bảo mật khó bám sát bối cảnh thay đổi nhanh, khiến lỗ hổng bị bỏ sót và khách hàng bị phơi bày.
Kiểm thử xâm nhập liên tục mô phỏng hành vi của kẻ tấn công thực sự, vừa chứng minh cam kết xây dựng khuôn khổ an ninh mạnh mẽ với khách hàng, vừa cải thiện quản lý lỗ hổng và giảm nguy cơ vi phạm dữ liệu. Khách hàng có bằng chứng thực tế; đội bảo mật nhà cung cấp có cơ sở sửa chữa những điểm yếu của mình.
Với các tổ chức quản lý hàng chục hoặc hàng trăm mối quan hệ với bên thứ ba, mức độ minh bạch này rất quan trọng để hiểu rủi ro thực sự nằm ở đâu và để nâng cao chất lượng mối quan hệ với khách hàng.
Chuỗi cung ứng trở thành mục tiêu ưu tiên của các tác nhân thù địch, và một vụ xâm nhập có thể gây hiệu ứng domino lan rộng qua nhà cung cấp, kho bãi và nhà sản xuất. Ví dụ, những vụ tấn công vào các nhà cung cấp lớn đã gây gián đoạn chuỗi cung ứng và ảnh hưởng đến hoạt động kinh doanh rộng hơn.
Vì vậy, điều cốt lõi là nhà cung cấp phải chứng minh bằng bằng chứng rằng họ an toàn. Các CISO có vị trí thuận lợi để nâng cao tiêu chuẩn, dẫn dắt yêu cầu rằng các đội an ninh bên thứ ba cần chứng minh việc quản lý an ninh mạng của họ là vững chắc.
Rõ ràng, đây không phải là để trừng phạt nhà cung cấp có mức độ bảo mật chưa đạt, mà là để tạo sự liên kết chặt chẽ hơn giữa nhà cung cấp và khách hàng: chuyển từ lời hứa sang bằng chứng để cùng giảm thiểu rủi ro và gia tăng khả năng chống chịu.
Nguồn: Techradar
Trong nhiều năm, quan hệ an ninh mạng giữa nhà cung cấp và khách hàng chủ yếu dựa trên hợp đồng và niềm tin. Mô hình này giờ đang cho thấy dấu hiệu lạc hậu khi các cuộc tấn công qua bên thứ ba ngày càng phổ biến: chỉ trong năm gần đây, 51% tổ chức tại Anh báo cáo vi phạm liên quan đến nhà cung cấp bên thứ ba.
Các cuộc tấn công mạng gia tăng cả về tần suất lẫn mức độ thiệt hại, thậm chí khi kẻ tấn công sử dụng kỹ thuật không quá tinh vi. Do đó, cách nhà cung cấp trấn an khách hàng chỉ bằng lời nói hoặc chứng nhận tĩnh đã không còn đủ; tuân thủ giấy tờ chỉ là mức tối thiểu chứ không đồng nghĩa với khả năng phục hồi thực sự.
Hợp đồng và cam kết bằng văn bản hiếm khi bảo vệ tổ chức một cách thực tế, và khách hàng thường thiếu tầm nhìn thực sự về trạng thái an ninh của nhà cung cấp. Những bộ hồ sơ, bảng câu hỏi và hàng loạt chứng chỉ đang che phủ đi yêu cầu về khả năng bảo vệ được chứng minh bằng thực tế, khiến việc “đánh dấu tích” được đặt cao hơn việc chứng minh độ mạnh của hệ thống.
Cần chuyển từ nói sang cho thấy: bằng chứng quan trọng hơn lời hứa. Mô hình an ninh dựa trên bằng chứng đòi hỏi nhà cung cấp chủ động chứng minh rằng cách tiếp cận bảo mật của họ có thể đo lường được, mạnh mẽ và hiệu quả. Trong bối cảnh mối đe dọa ngày nay, tuân thủ không đồng nghĩa với khả năng chống chịu; chỉ có phương pháp chủ động và liên tục mới đem lại kết quả.
Vấn đề là các đánh giá một thời điểm nhanh chóng trở nên lỗi thời khi hệ thống thay đổi, công nghệ tiến lên và mã nguồn được cập nhật. Một nhà cung cấp được đánh giá là an toàn tại thời điểm cấp chứng nhận vẫn có thể mang rủi ro chỉ sau vài tuần nếu không có quy trình quản lý lỗ hổng liên tục.
Việc xây dựng tầm nhìn toàn diện về lỗ hổng trong toàn tổ chức thường gặp nhiều khó khăn. Không ít nhà cung cấp chọn cách làm ngơ có chủ ý để tiết kiệm chi phí, đổi lấy việc tăng rủi ro mà khách hàng phải chịu.
Ngay cả khi lỗ hổng mới được phát hiện, khách hàng thường rất ít hoặc không có khả năng nắm bắt. Cách tiếp cận ad hoc với an ninh bên thứ ba tạo ra một dạng “mù lòa có cấu trúc” nơi rủi ro tồn tại nhưng không được nhìn thấy. Do đó, nhà cung cấp cần chuyển sang liên tục phát tín hiệu về hoạt động và khả năng phục hồi an ninh, thay vì trông chờ vào những cam kết tĩnh.
Về mặt thực tiễn, điều này có nghĩa là kiểm thử xâm nhập liên tục. Khi nhà cung cấp chỉ kiểm tra không thường xuyên hoặc theo cách vụn vặt, đội bảo mật khó bám sát bối cảnh thay đổi nhanh, khiến lỗ hổng bị bỏ sót và khách hàng bị phơi bày.
Kiểm thử xâm nhập liên tục mô phỏng hành vi của kẻ tấn công thực sự, vừa chứng minh cam kết xây dựng khuôn khổ an ninh mạnh mẽ với khách hàng, vừa cải thiện quản lý lỗ hổng và giảm nguy cơ vi phạm dữ liệu. Khách hàng có bằng chứng thực tế; đội bảo mật nhà cung cấp có cơ sở sửa chữa những điểm yếu của mình.
Với các tổ chức quản lý hàng chục hoặc hàng trăm mối quan hệ với bên thứ ba, mức độ minh bạch này rất quan trọng để hiểu rủi ro thực sự nằm ở đâu và để nâng cao chất lượng mối quan hệ với khách hàng.
Chuỗi cung ứng trở thành mục tiêu ưu tiên của các tác nhân thù địch, và một vụ xâm nhập có thể gây hiệu ứng domino lan rộng qua nhà cung cấp, kho bãi và nhà sản xuất. Ví dụ, những vụ tấn công vào các nhà cung cấp lớn đã gây gián đoạn chuỗi cung ứng và ảnh hưởng đến hoạt động kinh doanh rộng hơn.
Vì vậy, điều cốt lõi là nhà cung cấp phải chứng minh bằng bằng chứng rằng họ an toàn. Các CISO có vị trí thuận lợi để nâng cao tiêu chuẩn, dẫn dắt yêu cầu rằng các đội an ninh bên thứ ba cần chứng minh việc quản lý an ninh mạng của họ là vững chắc.
Rõ ràng, đây không phải là để trừng phạt nhà cung cấp có mức độ bảo mật chưa đạt, mà là để tạo sự liên kết chặt chẽ hơn giữa nhà cung cấp và khách hàng: chuyển từ lời hứa sang bằng chứng để cùng giảm thiểu rủi ro và gia tăng khả năng chống chịu.
Nguồn: Techradar
Bài viết liên quan
