在如今这个万物互联的世界中,没有哪家企业是身处孤岛之上的。所有企业都不得不与第三方(外部厂商、承包商、关联企业、合作伙伴以及其他人)发生多重联系。
2018年由第三方造成的数据泄露事件
由于第三方供应商管理的网站存在配置错误,导致美国银行信用卡发行商TCM Bank在2017年3月初-2018年7月中旬之间暴露了大量信用卡申请人数据(包含姓名、地址、出生日期、社会安全号码);
· 2018年6月,由于第三方负责管理的网站页面上存在一个漏洞,导致赛门铁克的身份保护服务Lifelock泄露了数百万客户的电子邮件地址;
· 2018年6月,由于第三方承包商未能合理保护Apache Airflow服务器,导致环球音乐集团(UMG)在云数据库中存储的所有内容都暴露在了开放的互联网上,其中包括内部文件传输协议(FTP)凭据、AWS密钥以及内部和SQL root密码等;
· 6月份,由于第三方服务器配置失误,导致MyHeritage家谱网站暴露了9200万用户个人详细信息,其中包括用户密码、电子邮件等;
· 同在6月,由于第三方服务商Inbenta Technologie所提供的软件中含有恶意代码,导致活动票务巨头公司Ticketmaster发生了数据泄露事件,影响了近5%的全球用户,泄露数据包含用户个人信息和银行卡数据等;
· 2018年5月,由于第三方服务商所提供的语音识别软件Nuance存在系统漏洞,导致包括旧金山卫生局和加州大学圣迭戈分校在内的客户信息泄露,曝光了4.5万份患者记录;
· 2018年4月,由于第三方支付系统存在漏洞,导致北美高端百货零售商Saks Fifth Avenue 萨克斯第五大道、Lord & Taylor和Saks Off 5th泄露了超过500万顾客的信用卡和借记卡等个人财务资料。
第三方已然成为薄弱环节
从2013年的Target事件再到上述种种案例,我们已经见识到与第三方的交互会怎样将弹性环境(设备、服务、应用自由进出的环境),转变成一个后门密布,黑客可轻易渗透进公司网络的不稳定空间。
根据一项针对200多名企业IT和安全高管、董事、经理进行的调查结果显示,56%的受访者对自身控制或防护第三方访问的能力表示强烈担忧;48%的受访者表示第三方访问在过去3年间增长迅速,且40%的受访者认为未来3年第三方访问将持续增长;75%的IT和安全人员认为第三方数据泄露非常严重,且正在增加。
与此同时,IIA研究基金会和Crowe Horwath LLP联合发布的调查数据也显示:超过78%的受访者表示对自身控制或防护第三方访问的能力表示“担忧”或“强烈担忧”;高达90%的受访者报告称自己的公司喜欢使用第三方技术承包商;65%以上形容他们的企业“极度依赖”或“广泛运用”第三方供应商;
结果很明显,如今,除了“粗心大意的内部员工”是安全链条中最薄弱的环节外,第三方承包商也成了最薄弱的一环。婉转一点来说,这些都是企业安全领域的主要“痛点”。
第三方的主要威胁类型
威胁1. 共享凭证
这是我们在大型企业中遭遇的最危险的身份验证方式之一。设想有这样一个服务——不经常使用,却要求某种形式的基于凭证的身份验证。随着时间推移,该服务的用户发生了改变,但出于方便考虑,凭证却一直未变。该服务目前可出于多种目的,在多个地点,用不同设备登录。只要一个缺乏经验的用户上了凭证获取技术的当,该服务以及该服务的后续登录用户就会陷入危险境地
公司内部的共享服务——从数据库到通信协议,都会成为恶意行为者的主要目标。持续的用户行为监视,让系统管理员可以通过个体身份验证协议映射和关联所有异常用户访问事件,来预防这种类型的服务滥用。
威胁2. 无规律地访问
将内部凭证授权给合作伙伴的公司,必须确保他们是长期且可靠的合作关系。管理和监控受信外部人士可能会是摆脱不掉的麻烦,尤其涉及试图分辨一个账户是否被黑的时候。账户和资源使用的无规律频繁变化,外加对IT策略和规则的不熟悉,都会导致警报激增。
对合作公司或重要内容及服务提供商赋予信任,应该始于将终端用户的潜在使用方式完全同化进公司。这意味着联合员工培训、严密监控和固定用户列表,以及预定义的参与用例。所有这些都有助于确保一旦怀疑有受损凭证使用不当的状况,你的安全运营中心(SOC)将有能力识别并解决该问题。
威胁3. 联合云(Joint Cloud)
很多公司已经转向部署云驱动的安全解决方案。虽然云应用使用规则已经受到了广泛关注,但我们也看到传统环境与云应用之间形成了更为复杂的关系,形成了另一个未被充分利用的空间。着眼未来,我们建议采用跨环境身份验证协议和措施,以便对这些不断演变的攻击面进行更细粒度的监控。
威胁4. 公共互联网曝光
接入互联网且允许第三方远程登录的设备正是外部攻击者梦寐以求的大奖。采用社会工程和其他欺骗手段,攻击者就可以轻松获取到对共享工作站的初始访问权限,并在此初始立足点的基础上渗透进你的网络。
采用安全远程连接协议并在工作站上应用额外的监视层,将有助于减轻外部非授权访问的可能性,还可能在外部人士试图在你周边建立据点的时候,提供有价值的情报。
威胁5. 特权账户
特权账户为内部不法分子和恶意外部人士提供了安全获取敏感资源和/或修改自身访问级别所需的权限。这正是特权账户应该像提供给受信外部人士的账户一样,在共享访问工作站上被隐藏或禁用的原因所在。
尽管这种方式并不总是可行,因为大多数外部访问权授予的是需要某种程度的较高权限以提供服务或技术的团体,我们建议在这些设备上建立目的明确的访问组,以确保域控规则和其他方面都能辅助实时识别异常。
历史的惨痛教训和直观的数据警示我们:重视第三方网络威胁已经成为保障网络安全不可回避的话题。企业需要花些时间来正确对待他们的第三方合作项目。以下10条安全建议可以帮助企业有效的降低第三方威胁:
安全建议
1. 综合考虑第三方公司的文化、潜在威胁和风险规避水平
开发一个项目伊始,其流行趋势、变化以及威胁等因素都会对业务成败带来非常明显的影响。很多项目最终走向失败,是因为其利益相关者不能表达出一个第三方供应商如何能为他们的业务带来效益,以及他们愿意在商业协议中承担多少风险。例如,公司可以在东欧找到一个低成本的代码开发者,此举在短期内确实会省钱,但是这个离岸开发者真的适合该公司的企业文化吗?与一个不尊重版权法的企业合作开展业务真的值得吗?虽然有些企业觉得有些风险值得去冒,但是建议大家至少充分考虑到潜在的负面影响。
2. 实施强有力的内部管理体系和政策
建立一个全公司范围内的管理政策,能够为任何第三方风险管理项目奠定一个坚实的基础。通过让每个员工知晓企业制定风险管理计划的目的是什么,并让他们参与其中发表意见。只有让他们每个人都清楚的了解,任何新的流程或职责都是为了防止由第三方带来的安全风险,如此一来,项目才能实现最佳效果。
3. 确定第三方供应商的风险等级
列出所有与公司有业务往来的供应商,然后将其按照高风险、中等风险以及低风险进行分类。很多大型企业认为他们无法处理得来5000—10000多家供应商,所以对最低风险的公司进行检查是非常重要的。此外还要记住,第三方包括供应商、合资子公司、子公司以及客户。更成熟的程序认为,第三方必须由与互联网相连或与之信息共享的企业组成。例如,一个供应商可能通过文件传输协议传输信息,他们不一定与网络直接相连,但是敏感信息可能会被转移。公司需要对固有风险进行总体考察,如战略、合同、信息、IT操作以及监管和合规风险等。
4. 了解第三方的稳定性和运营状态
一个企业如果面临经济压力就会停止在安全管控方面的投入。在与第三方开展合作之前,先要对其进行一个全面的背景调查。了解他们最近是否发生过安全事件?有没有被新闻报道过一些负面新闻,比如悬而未决的诉讼案或并购和收购活动等?了解一场DDoS攻击会对其提供服务的能力造成多大影响。探索其潜在风险是非常重要的,看看他们是否有针对安全事件提供任何服务支持。
5.合规并不一定意味着风险管理
记住,规定/法规(如GDPR、SOX、HIPAA健康保险流通与责任法案以及PCI DSS数据安全标准)都是最基本的标准。安全并不等于只满足这些最低的监管标准。安全界的事情变化莫测,有时候法规并不能赶上其变化。例如,大多数法规并未将“勒索软件”纳入其中,但是当今时代的每个组织都在为防范勒索软件在努力。
6. 单纯依赖新技术并不可行,但并不意味着技术没有帮助
依靠新技术来帮助安全人员减少所有可能的风险,只是一种不切实际的美好愿望。最好的方法还是依靠人、流程以及技术的结合。当然,这并不意味着技术是无用的。现在市场上有许多可用的技术,提供实时的风险仪表板或风险管理平台等。
7. 协商改善第三方的控件
在很多情况下,进一步的风险缓解根本不具有任何经济意义。当风险引发的潜在损失小于实施风险管理措施所消耗的成本时,通常可以鼓励高级管理人员接受风险,并继续协商其他更加无法接受的风险。
此外,考虑风险转移也是非常重要的。作为合同谈判过程的一部分,企业可以要求第三方附带网络保险服务。如果风险很大,一定要确保企业的权益在保单中得到保障。对于高风险的合作关系,企业应该考虑自己购买一份网络保险,并作为唯一受益人。
风险转移是一种相对轻松却又容易被遗忘的方法。公司可以通过法律协议或是保险单将风险转移给第三方。现在,很多商业财产和事故保险中都内置了网络保险单或附加险。
8. 仔细检查你的风险评估结果
企业风险评估的审计结果对于企业不同领域(如采购、法律和安全)的内部审查具有非常重要的指导意义。企业应该对审计中发现的风险进行复审,并要求第三方对薄弱环节进行修改,以符合组织对安全性的要求。
企业还要对后续操作进行跟踪反馈,以确保薄弱环节的修复活动得以落实。企业经常与第三方之间签订合同,但是又从不跟踪其是否落实了合同中的敲定条款。例如,如果第三方同意每周或每月对日志进行检查,或是将所有的笔记本电脑默认加密,一定要进行跟踪反馈以确保他们真的落实了。
9. 检测并报告风险等级
观察风险是如何随着第三方变化的。第一份合同可能是低风险的,但是第二份合同的风险可能更高。制定流程,以便企业能够证明第三方风险计划满足了业务风险和监管的要求。此外,还要向执行团队提供持续性的风险等级报告,来展示第三方风险技术是否发挥了效用。
10. 进行公开地沟通
与高风险的第三方建立定期沟通。更新任何新活动的最新消息,并与他们重申违约通知的要求,努力让信息共享变得更加便捷。对于规模较大、更为成熟的第三方公司,建议每年进行一次现场检查,或是每季度通过远程会话和电话进行检查。