Как выстроить защиту от атак через цепочки поставок

Атаки на цепочки поставок, или supply chain attack, — это сложный для обнаружения и при этом очень распространённый вид атак. Можно заполучить уязвимость, используя опенсорс-библиотеку, а можно пропустить «вредоноса» через незащищённого подрядчика. И то, и другое несёт угрозу непосредственно вашему бизнесу. В новом выпуске «Безопасно говоря» с гостями из финансового сектора обсуждаем, как снизить риски атак через цепочки поставок и где эти риски надо отслеживать. В гостях: Николай Клендар, директор департамента информационной безопасности, Хоум Банк; Сергей Демидов, директор по информационной безопасности, Московская биржа. Ведущие: Алексей Миртов, руководитель группы продуктов Security & Compliance, Yandex Cloud; Рами Мулейс, менеджер продуктов безопасности Yandex Cloud. Полезные ссылки: ГК «Солар»: ущерб от атак на цепочки поставок в финсекторе: Вебинар «Как выстроить пайплайн безопасной разработки в Yandex Cloud»: Знаете, где ещё подстерегают атаки «третьей стороны»? Напишите в комментариях! А чтобы поделиться опытом, поругаться, задать вопрос, предложить свои темы или экспертов, которых надо позвать в гости, пишите по адресу: cloudpodcast@. 🎧 Подкаст доступен в аудиоверсии: Яндекс Музыка: Apple Podcasts: Castbox: : : ▶️ Все эпизоды в плейлисте на YouTube: 📍 Что в выпуске: 00:00 Краткое содержание 01:09 Приветствие и представление гостей 01:45 У нас сегодня интересная тема: атаки на цепочки поставок 02:01 Определяемся с терминами: что подразумеваем под supply chain attack 02:51 Проблема гораздо шире, чем два базовых сценария: кризис доверия 04:09 Зависимость любого бизнеса от поставщиков сервисов 05:00 Самые высокорисковые атаки supply chain: опасность выше там, где мы меньше всего её ожидаем 07:00 Как защищаться от рисков третьей стороны: где строить заборы 09:09 Классический риск-менеджмент или специфический подход? 10:00 Как специалисту по ИБ всё это выдержать и откуда берётся тревожность 10:44 Кейс с атакой на цепочку поставок: ситуация и выводы 13:13 Концепция нулевого доверия (zero trust) 15:09 Подходы к проверке третьей стороны (third party risk management) 18:30 Популярная тема supply chain attack — а где новые технологии и подходы? 22:37 Необходимый набор для защиты: инструменты, бюджеты и степень ответственности 24:30 Стандартизация и Software Bill of Materials: как совместить с инновациями? 28:24 Где же найти высококвалифицированных безопасников 30:04 ML — это решение? 32:00 Что делать бизнесу без неограниченных ресурсов 36:50 Принцип четырёх глаз: кто кого контролирует 39:54 Почему организациям приходится мониторить состояние сотрудников 41:23 Пробуем суммаризировать актуальную историю с рисками и защитой 46:45 ИИ и его галлюцинации: как это всё может применяться для атак и как защищаться 49:10 ИБ — это состязательная дисциплина 50:25 Надежда на производителей защитных решений 52:02 Если не знаете, с чего начать, — начните с вебинара 52:38 Подводим итоги