揭祕來自第三方合作伙伴的威脅型別及防禦建議
在如今這個萬物互聯的世界中,沒有哪家企業是身處孤島之上的。所有企業都不得不與第三方(外部廠商、承包商、關聯企業、合作伙伴以及其他人)發生多重聯絡。
2018年由第三方造成的資料洩露事件
由於第三方供應商管理的網站存在配置錯誤,導致美國銀行信用卡發行商TCM Bank在2017年3月初-2018年7月中旬之間暴露了大量信用卡申請人資料(包含姓名、地址、出生日期、社會安全號碼);
· 2018年6月,由於第三方負責管理的網站頁面上存在一個漏洞,導致賽門鐵克的身份保護服務Lifelock洩露了數百萬客戶的電子郵件地址;
· 2018年6月,由於第三方承包商未能合理保護Apache Airflow伺服器,導致環球音樂集團(UMG)在雲資料庫中儲存的所有內容都暴露在了開放的網際網路上,其中包括內部檔案傳輸協議(FTP)憑據、AWS金鑰以及內部和SQL root密碼等;
· 6月份,由於第三方伺服器配置失誤,導致MyHeritage家譜網站暴露了9200萬用戶個人詳細資訊,其中包括使用者密碼、電子郵件等;
· 同在6月,由於第三方服務商Inbenta Technologie所提供的軟體中含有惡意程式碼,導致活動票務巨頭公司Ticketmaster發生了資料洩露事件,影響了近5%的全球使用者,洩露資料包含使用者個人資訊和銀行卡資料等;
· 2018年5月,由於第三方服務商所提供的語音識別軟體Nuance存在系統漏洞,導致包括舊金山衛生局和加州大學聖迭戈分校在內的客戶資訊洩露,曝光了4.5萬份患者記錄;
·2018年4月,由於第三方支付系統存在漏洞,導致北美高階百貨零售商Saks Fifth Avenue 薩克斯第五大道、Lord & Taylor和Saks Off 5th洩露了超過500萬顧客的信用卡和借記卡等個人財務資料。
第三方已然成為薄弱環節
從2013年的Target事件再到上述種種案例,我們已經見識到與第三方的互動會怎樣將彈性環境(裝置、服務、應用自由進出的環境),轉變成一個後門密佈,黑客可輕易滲透進公司網路的不穩定空間。
根據一項針對200多名企業IT和安全高管、董事、經理進行的調查結果顯示,56%的受訪者對自身控制或防護第三方訪問的能力表示強烈擔憂;48%的受訪者表示第三方訪問在過去3年間增長迅速,且40%的受訪者認為未來3年第三方訪問將持續增長;75%的IT和安全人員認為第三方資料洩露非常嚴重,且正在增加。
與此同時,IIA研究基金會和Crowe Horwath LLP聯合釋出的調查資料也顯示:超過78%的受訪者表示對自身控制或防護第三方訪問的能力表示“擔憂”或“強烈擔憂”;高達90%的受訪者報告稱自己的公司喜歡使用第三方技術承包商;65%以上形容他們的企業“極度依賴”或“廣泛運用”第三方供應商;
結果很明顯,如今,除了“粗心大意的內部員工”是安全鏈條中最薄弱的環節外,第三方承包商也成了最薄弱的一環。婉轉一點來說,這些都是企業安全領域的主要“痛點”。
第三方的主要威脅型別
威脅1. 共享憑證
這是我們在大型企業中遭遇的最危險的身份驗證方式之一。設想有這樣一個服務——不經常使用,卻要求某種形式的基於憑證的身份驗證。隨著時間推移,該服務的使用者發生了改變,但出於方便考慮,憑證卻一直未變。該服務目前可出於多種目的,在多個地點,用不同裝置登入。只要一個缺乏經驗的使用者上了憑證獲取技術的當,該服務以及該服務的後續登入使用者就會陷入危險境地
公司內部的共享服務——從資料庫到通訊協議,都會成為惡意行為者的主要目標。持續的使用者行為監視,讓系統管理員可以通過個體身份驗證協議對映和關聯所有異常使用者訪問事件,來預防這種型別的服務濫用。
威脅2. 無規律地訪問
將內部憑證授權給合作伙伴的公司,必須確保他們是長期且可靠的合作關係。管理和監控受信外部人士可能會是擺脫不掉的麻煩,尤其涉及試圖分辨一個賬戶是否被黑的時候。賬戶和資源使用的無規律頻繁變化,外加對IT策略和規則的不熟悉,都會導致警報激增。
對合作公司或重要內容及服務提供商賦予信任,應該始於將終端使用者的潛在使用方式完全同化進公司。這意味著聯合員工培訓、嚴密監控和固定使用者列表,以及預定義的參與用例。所有這些都有助於確保一旦懷疑有受損憑證使用不當的狀況,你的安全運營中心(SOC)將有能力識別並解決該問題。
威脅3. 聯合雲(Joint Cloud)
很多公司已經轉向部署雲驅動的安全解決方案。雖然雲應用使用規則已經受到了廣泛關注,但我們也看到傳統環境與雲應用之間形成了更為複雜的關係,形成了另一個未被充分利用的空間。著眼未來,我們建議採用跨環境身份驗證協議和措施,以便對這些不斷演變的攻擊面進行更細粒度的監控。
威脅4. 公共網際網路曝光
接入網際網路且允許第三方遠端登入的裝置正是外部攻擊者夢寐以求的大獎。採用社會工程和其他欺騙手段,攻擊者就可以輕鬆獲取到對共享工作站的初始訪問許可權,並在此初始立足點的基礎上滲透進你的網路。
採用安全遠端連線協議並在工作站上應用額外的監視層,將有助於減輕外部非授權訪問的可能性,還可能在外部人士試圖在你周邊建立據點的時候,提供有價值的情報。
威脅5. 特權賬戶
特權賬戶為內部不法分子和惡意外部人士提供了安全獲取敏感資源和/或修改自身訪問級別所需的許可權。這正是特權賬戶應該像提供給受信外部人士的賬戶一樣,在共享訪問工作站上被隱藏或禁用的原因所在。
儘管這種方式並不總是可行,因為大多數外部訪問權授予的是需要某種程度的較高許可權以提供服務或技術的團體,我們建議在這些裝置上建立目的明確的訪問組,以確保域控規則和其他方面都能輔助實時識別異常。
歷史的慘痛教訓和直觀的資料警示我們:重視第三方網路威脅已經成為保障網路安全不可迴避的話題。企業需要花些時間來正確對待他們的第三方合作專案。以下10條安全建議可以幫助企業有效的降低第三方威脅:
安全建議
1. 綜合考慮第三方公司的文化、潛在威脅和風險規避水平
開發一個專案伊始,其流行趨勢、變化以及威脅等因素都會對業務成敗帶來非常明顯的影響。很多專案最終走向失敗,是因為其利益相關者不能表達出一個第三方供應商如何能為他們的業務帶來效益,以及他們願意在商業協議中承擔多少風險。例如,公司可以在東歐找到一個低成本的程式碼開發者,此舉在短期內確實會省錢,但是這個離岸開發者真的適合該公司的企業文化嗎?與一個不尊重版權法的企業合作開展業務真的值得嗎?雖然有些企業覺得有些風險值得去冒,但是建議大家至少充分考慮到潛在的負面影響。
2. 實施強有力的內部管理體系和政策
建立一個全公司範圍內的管理政策,能夠為任何第三方風險管理專案奠定一個堅實的基礎。通過讓每個員工知曉企業制定風險管理計劃的目的是什麼,並讓他們參與其中發表意見。只有讓他們每個人都清楚的瞭解,任何新的流程或職責都是為了防止由第三方帶來的安全風險,如此一來,專案才能實現最佳效果。
3. 確定第三方供應商的風險等級
列出所有與公司有業務往來的供應商,然後將其按照高風險、中等風險以及低風險進行分類。很多大型企業認為他們無法處理得來5000—10000多家供應商,所以對最低風險的公司進行檢查是非常重要的。此外還要記住,第三方包括供應商、合資子公司、子公司以及客戶。更成熟的程式認為,第三方必須由與網際網路相連或與之資訊共享的企業組成。例如,一個供應商可能通過檔案傳輸協議傳輸資訊,他們不一定與網路直接相連,但是敏感資訊可能會被轉移。公司需要對固有風險進行總體考察,如戰略、合同、資訊、IT操作以及監管和合規風險等。
4. 瞭解第三方的穩定性和運營狀態
一個企業如果面臨經濟壓力就會停止在安全管控方面的投入。在與第三方開展合作之前,先要對其進行一個全面的背景調查。瞭解他們最近是否發生過安全事件?有沒有被新聞報道過一些負面新聞,比如懸而未決的訴訟案或併購和收購活動等?瞭解一場DDoS攻擊會對其提供服務的能力造成多大影響。探索其潛在風險是非常重要的,看看他們是否有針對安全事件提供任何服務支援。
5.合規並不一定意味著風險管理
記住,規定/法規(如GDPR、SOX、HIPAA健康保險流通與責任法案以及PCI DSS資料安全標準)都是最基本的標準。安全並不等於只滿足這些最低的監管標準。安全界的事情變化莫測,有時候法規並不能趕上其變化。例如,大多數法規並未將“勒索軟體”納入其中,但是當今時代的每個組織都在為防範勒索軟體在努力。
6. 單純依賴新技術並不可行,但並不意味著技術沒有幫助
依靠新技術來幫助安全人員減少所有可能的風險,只是一種不切實際的美好願望。最好的方法還是依靠人、流程以及技術的結合。當然,這並不意味著技術是無用的。現在市場上有許多可用的技術,提供實時的風險儀表板或風險管理平臺等。
7. 協商改善第三方的控制元件
在很多情況下,進一步的風險緩解根本不具有任何經濟意義。當風險引發的潛在損失小於實施風險管理措施所消耗的成本時,通常可以鼓勵高階管理人員接受風險,並繼續協商其他更加無法接受的風險。
此外,考慮風險轉移也是非常重要的。作為合同談判過程的一部分,企業可以要求第三方附帶網路保險服務。如果風險很大,一定要確保企業的權益在保單中得到保障。對於高風險的合作關係,企業應該考慮自己購買一份網路保險,並作為唯一受益人。
風險轉移是一種相對輕鬆卻又容易被遺忘的方法。公司可以通過法律協議或是保險單將風險轉移給第三方。現在,很多商業財產和事故保險中都內建了網路保險單或附加險。
8. 仔細檢查你的風險評估結果
企業風險評估的審計結果對於企業不同領域(如採購、法律和安全)的內部審查具有非常重要的指導意義。企業應該對審計中發現的風險進行復審,並要求第三方對薄弱環節進行修改,以符合組織對安全性的要求。
企業還要對後續操作進行跟蹤反饋,以確保薄弱環節的修復活動得以落實。企業經常與第三方之間簽訂合同,但是又從不跟蹤其是否落實了合同中的敲定條款。例如,如果第三方同意每週或每月對日誌進行檢查,或是將所有的筆記本電腦預設加密,一定要進行跟蹤反饋以確保他們真的落實了。
9. 檢測並報告風險等級
觀察風險是如何隨著第三方變化的。第一份合同可能是低風險的,但是第二份合同的風險可能更高。制定流程,以便企業能夠證明第三方風險計劃滿足了業務風險和監管的要求。此外,還要向執行團隊提供持續性的風險等級報告,來展示第三方風險技術是否發揮了效用。
10. 進行公開地溝通
與高風險的第三方建立定期溝通。更新任何新活動的最新訊息,並與他們重申違約通知的要求,努力讓資訊共享變得更加便捷。對於規模較大、更為成熟的第三方公司,建議每年進行一次現場檢查,或是每季度通過遠端會話和電話進行檢查。