企业安全的薄弱环节可能在于合作伙伴和供应商。以下讲述了如何了解和减轻这种风险。
供应链攻击,也称价值链攻击或第三方攻击,发生在有攻击者通过可访问企业系统和数据的外部合作伙伴或者供应商的信息,潜入内部系统的时候。这一攻击方式,在过去几年里极大地改变了典型的企业攻击方式,因为能够接触到敏感数据的供应商和服务提供商的数量,要比以往任何时候都要多。
供应链攻击带来了前所未有的高风险,由于新型攻击方式的出现,公众对威胁的认识不断提高,监管机构也加强了监管力度。 同时,攻击者拥有比以往更多的资源和工具。在这一背景下企业安全将面临重重危机。
供应链攻击事件
供应商造成的重大网络入侵事件层出不穷。2014年Target数据泄漏事件,起因是由于第三方HVAC(供热通风与空气调节)承包商对安全的疏忽。今年Equifax将其大型数据泄露归咎于他们使用的第三方软件的漏洞。而他们将其网站上的一个恶意下载链接,归咎于另一家供应商。
还有“天堂文件”(Paradise Papers)事件,泄露了超过1300万份详细记录大型企业,政界人士和名人离岸避税行为的文件。其泄露源头正如去年的“巴拿马文件”(Panama Papers) 事件,是一家律师事务所——一个其中最薄弱的环节。
供应链攻击概况
这些事件并不是孤立的。根据波耐蒙研究所(Ponemon Institute)在2018年秋季进行的一项调查,56%的组织机构遭遇过由他们某个供应商造成的网络入侵。同时,每个组织机构中,能够接访问敏感信息的第三方平均数量由378增加到了471。这个数量可能有些少,但是只有35%的组织机构拥有正在与他们共享敏感信息的所有第三方名单。
只有18%的企业表示,他们知道这些供应商是否在和其他供应商分享这些信息。这是一个问题,因为客户并不关心是否是公司本身,还是该公司的供应商泄露了数据。
出于上述原因,企业正在加大对第三方数据泄露风险的监控力度。2018年12月,波耐蒙研究所发布的网络风险报告(Ponemon Institute Cyber Risk Report)中发现,第三方滥用或者未经授权共享机密数据,是2019年IT专业人士担心的第二大安全问题(64%)。有41%的受访人员表示在过去24个月里经历过与第三方相关的安全事件。
当你发觉风险不会随着与供应商合作终止而消失时,问题会变得更糟糕。这个秋天,澳大利亚多米诺(Domino)披萨发生了一起安全事件,称一家前供应商的系统泄露了客户姓名和电子邮件地址。Prevalent公司第三方战略高级主管Brad Keller表示:
大部分我审核的合同,并没有包含对管理复杂的合作终止流程需要的详细信息。
此外,监管机构也越来越关注第三方带来的风险。去年,纽约州金融监管机构开始要求金融机构在纽约设有办公室,以确保这些机构供应商的网络安全保护措施达到了标准。
明年,欧洲也会采取同样的措施,其颁布的《通用数据保护条例》(General Data Protection Regulation ,GDPR))适用于所有收集欧洲用户个人信息的公司。
Thales e-Security战略与营销副总裁Peter Galvin表示,第三方风险监管仍处于初级阶段,很多公司并不能很好地应对这些风险。
金融机构已经习惯了这些,而且准备更加充分。但是很多公司并没有意识到这些风险,你会看到入侵事件将会增加,而且会看到更多的法律行动。
专家预计将会有更多的监管机构开始要求企业对第三方风险采取更多的措施。Focal Point Data Risk公司数据隐私事务负责人Eric Dieterich表示:这是现在可以看到的一个持续的趋势。
隐藏在硬件和软件供应链背后的风险
几乎每家公司都在使用来自外部的软件和硬件。由于开源经济的繁荣,没有人会再从零开始构建他们的技术了。但是在这种习惯背后,存在着巨大的风险。每个购入的设备,下载的应用,都需要进行审查并监控其潜在的安全威胁,并且所有的补丁都必须是最新的。
今年四月,Flash Intelligence的研究人员表示,犯罪分子正在加强对流行的开源电子商务平台Magento 的攻击,试图通过暴力破解密码来窃取信用卡记录和植入专门密码挖掘的恶意软件。
研究人员发现Magento至少有1000个管理面板被入侵,并且深网和暗网对该平台兴趣从2016年起就有增无减。此外,Powerfront CMS和OpenCar也引起了人们浓厚的兴趣。
去年,Magento社区版(Magento Community Edition) 中的一个CSRF漏洞导致20万家在线零售商的网络数据处于裸奔的边缘。如果被利用,这个漏洞可以用来入侵整个系统,从而暴露含有敏感客户信息的数据库。由于商业版本的Magento共享相同的底层代码,人们没有理由不担心企业运营也会受到影响。
不仅一家公司自身的的数据面临风险,如果有漏洞的软件或者硬件组件被用于一个产品当中,可能会导致更多根本的安全问题。一个感染安全后门的电脑芯片,一个没有强认证的相机或者是一个不良的软件组件都能造成大规模破坏。例如Heartbleed漏洞,感染了数百万网站和移动设备以及很多大型供应商生产的软件,包括Oracle(甲骨文),VMware和Cisco(思科)。
思科系全球价值链首席安全官Edna Conway表示:
我们担心被操纵,我们担心国家和行业层面上的间谍活动,我们也担心被干扰。例如,硬件或者软件产品可能在供应链的某个环节被蓄意篡改,或者被伪造品所替代。
Conways表示,思科同时也担心因为第三方漏洞而造成的机密信息或敏感知识产权泄露。思科致力于提供合理的解决方案。如果你的客户不满意,你的信誉就会受损,这就会影响企业经营。这种信任是绝对必要的,而信任通过信誉的方式在商业活动中体现。
很多企业都有供应商必须满足的质量标准。思科在安全方面采用相同的方法。
我们采用的方案能够允许企业根据第三方供应商符合我们的价值观和目标的程度,建立相应的容忍等级,并根据第三方供应商提供的产品和服务的独特性进行调整。一旦有了容忍等级,你就可以开始衡量你是否处于,高于或者低于容忍水平。如果他们超过了容忍水平,我们可以一起坐下来谈谈 ‘我们怎么能够一起解决这个问题?’。
云供应商安全风险
单一,精简的组织机构已经被数字生态系统所取代,在这个系统中里,从单个应用程序到整个数据中心都转移到了云供应商手中。你想要保护的东西已经远在你的环境外。而且黑客很聪明。他们会走捷径。
Kneip表示,如今甚至硬件也开始走向云计算。汽车生产线中基于物联网的焊接工具默认设置是向制造商发送诊断信息,以便他们进行预测性维护。这听起来很棒,但是这也可能成为潜入你所有环境的一个通道。
专业服务供应商可能更不安全
安全供应商CrowdStrike,欧洲、中东及非洲(EMEA)销售工程主管John Titmus表示:安全真的只取决于最薄弱的环节。供应链攻击正在变得更加广泛,其频率和复杂程度也在不断增加。你需要知道风险的本质,并且围绕它规划安全路线图。
这个夏天,共和党全国委员会(Republican National Committee)合作的营销公司Deep Root Analytics,泄露了2亿选民的个人数据。这是一个小型公司,根据其在LiknedIn上的资料,其员工人数不到50人。Deep Root Analytics不小心将数据放到了可公开访问的服务器上。
大型服务供应商也同样容易受到攻击。涉及到600万客户记录的Verizon数据泄漏事件,是由其客户服务分析供应商Nice Systems造成的。Nice将6个月的客户服务通话记录(包括账户和个人信息),放在了一个公共Amazon S3存储服务器上。
Nice报告其公司拥有3500名员工,为超过85%的《财富》 100强企业提供服务。与德勤(Deloitte), 一个拥有超过25万员工的会计事务所相比,Nice只能算是一个小公司了。事后,德勤承认黑客能够访问到其部分蓝筹客户的邮件和机密计划。根据报告,攻击者利用管理员账户薄弱的访问控制,获得了访问权限。
卡巴斯基实验室(Kaspersky Lab)首席安全研究员Kurt Baumgartner表示:如果我们能看到攻击者通过攻击更多的供应商来达到他们的最终目标,我们不会感到意外。
如何管理第三方风险:第一步
对第三方网络安全风险进行正确的监管能够带来超出合规利益的红利。根据Ponemon报告,这实际上减少了入侵事件发生的可能性。该研究的赞助商,Opus Global公司创新和联盟副总裁Dov Goldman表示:如果你可以将数据泄露事件发生的概率减少20个百分点。
具体而言,如果一家企业能够对所有供应商的安全和隐私政策进行评估,事故发生的可能性将会从66%降至46%。这需要包括所有供应商,Goldman补充道。
大型合作关系并不一定带来最大的风险。最大的供应商可能已经部署了详尽的网络安全防御措施。但是如果你去看那些小一点的企业,他们并没有同样级别的网络安全监管措施。
一旦企业了解了其所有供应商,以及哪些供应商能够访问敏感数据,就可以使用各种工具来评估他们的安全等级。例如,一些公司在与他们供应商服务水平协议中加入了安全相关条款,云安全公司Evident首席执行官Tim Prendergast说道。
要求供应商签订协议来表明他们对安全的承诺,我们看到了进步。他们要求这些供应商对他们的合作伙伴采取相似的监管。我们将会看到一系列相关的法律合同。
供应商可能会被要求进行自我评估,允许客户访问,审查或购买网络保险。有时候,进行一次更彻底的评估是有必要的。Kudelski Security研究主管Ryan Spanier表示: 我们看到很多企业对他们的服务供应商进行了审计。我们合作的一家大型金融机构需要进行审计,需要在现场进行他们自己的渗透测试,来查看数据的分布以及其受保护程度。
然而,小型客户可能没有那么大的权威。他们只要求第三方的审计证明,根据其结果进行审查。然后他们会要求企业在继续合作前,解决发现的问题。你也可以将范围锁定在那些你知道安全工作做的好的企业,但是这很困难,因为目前这样的企业并不多。
此外,还有一些提供安全评分的组织机构。例如,BitSight Technologies和SecurityScorecard会查看外部供应商,根据面对攻击其网络达到的安全程度,来对企业进行评分。
为了进行更深入的评估,查看供应商的内部政策和流程,Deloitte(德勤)和CyberGRX已经联手进行审核和持续性评估,以避免供应商需要单独对每个客户进行回应。Aetna首席运营官Jim Routh表示:现在的企业需要将第三方网络安全当做一个商业风险进行持续管理。CyberGRX Exchange(网络风险信息交换平台)使得所有公司都能采用这种方法。
有一些金融机构正在做相似的事情。11月,美国运通(American Express),美国银行(Bank of America),摩根大通(JPMorgan)和富国银行(Wells Fargo)联合建立了名为TruSight的供应商评估服务。6月,巴克莱银行(Barclays),高盛集团(Goldman Sachs),汇丰银行(HSBC)和摩根士丹利(Morgan Stanley)宣布,他们将入股IHS Markit的Know Your Third Party风险管理解决方案。
公司应该通过审查第三方是如何访问他们的机密数据,来确保只有授权人员因为特定目标访问相关数据。根据Ponemon网络风险报告,42%的受访者表示要加强对第三方访问机密数据的管控。
如今,第三方风险管理需要新的方案,一个能够使企业了解数字生态系统的风险所在,能够根据这些风险调整管控措施,并能够与他们的第三方进行合作来修复和减轻这些风险的方案。
波耐蒙研究所2018年秋季报告地址:
https://www.opus.com/resources/
Ponemon报告地址:
https://www.tenable.com/cyber-exposure/ponemon-cyber-risk-report