Die gemeinnützige Forschungsorganisation MITRE steht seit langem für zukunftsorientierte, datengesteuerte Lösungen für das Sicherheits- und Risikomanagement auf Unternehmens- und Regierungsebene. Die ATT@CK-Matrix der Organisation ist ein leistungsstarkes Tool zur Kategorisierung von Cyberangriffstaktiken und -techniken sowie zur Bewertung von Schwachstellen. (Ich bin in diesem Blog-Beitrag von Januar 2022 ausführlicher auf die Einsatzmöglichkeiten und Vorteile von MITRE ATT@CK eingegangen.)
Die neueste Initiative von MITRE, die kürzlich auf der RSA-Konferenz 2022 angekündigt wurde, heißt System of Trust (SoT) und ist ebenfalls eine kostenlose und offene Plattform, die jedes Unternehmen nutzen kann, um Risiken zu bewerten und zu verstehen – in diesem Fall Risiken in der Lieferkette durch Cyber- und andere Bedrohungen.
Datengesteuerte Risikominderung
System of Trust bietet ein Framework für die Beurteilung von Lieferkettenrisiken in 14 definierten Risikobereichen und liefert detaillierte Informationen zu 2.200 Fragen zu Lieferketten. Die Wissensdatenbank basiert auf aktuellen, von der Community bereitgestellten Informationen, wodurch präzise Bewertungen sichergestellt werden.
Sobald Sie eine zuverlässige Bewertung der Risiken in Ihren Lieferketten haben, können Sie entscheiden, wie Sie diese Risiken mindern möchten – ob es darum geht, einen unzuverlässigen Lieferanten zu ersetzen, Ihren Versicherungsschutz anzupassen oder in Ihre Cybersecurity-Infrastruktur zu investieren. SoT ist auch sehr nützlich, um eine potenzielle Akquisition, Partnerschaft oder andere mögliche Störung bestehender Lieferketten zu bewerten.
Eine gemeinsame Sprache beim Thema Risiko
Diese Darstellung des SoT-Frameworks zeigt, wie die 14 Risikokategorien von MITRE in drei für Lieferketten relevante Vertrauensaspekte unterteilt sind. Jede dieser 14 Kategorien wird gründlich bewertet, während das System Antworten auf die Fragen sammelt.
System of Trust dient nicht nur als nützliches Instrument zur Risikobewertung und -minderung, sondern bietet auch ein gemeinsames, systematisches Vokabular für die Kommunikation innerhalb und zwischen Unternehmen über Risiken in der Lieferkette. Dadurch werden Anstrengungen zur Minderung dieser Risiken effizienter und produktiver.
Bericht: Anwendungssicherheit – Ein Überblick
Der Veteran Tony Burgess ist seit zwanzig Jahren in der IT-Sicherheitsbranche tätig und Senior Copywriter von Barracuda für Content und Customer Marketing. In dieser Funktion beschäftigt er sich mit komplexen technischen Themen und fasst seine Erkenntnisse in verständlicher, nützlicher und von Menschen lesbarer Prosa zusammen.