一篇文章了解供應鏈安全:為什么應該小心第三方供應商
責編:gltian |2019-02-27 17:12:14企業安全的薄弱環節可能在于合作伙伴和供應商。以下講述了如何了解和減輕這種風險。
供應鏈攻擊,也稱價值鏈攻擊或第三方攻擊,發生在有攻擊者通過可訪問企業系統和數據的外部合作伙伴或者供應商的信息,潛入內部系統的時候。這一攻擊方式,在過去幾年里極大地改變了典型的企業攻擊方式,因為能夠接觸到敏感數據的供應商和服務提供商的數量,要比以往任何時候都要多。
供應鏈攻擊帶來了前所未有的高風險,由于新型攻擊方式的出現,公眾對威脅的認識不斷提高,監管機構也加強了監管力度。 同時,攻擊者擁有比以往更多的資源和工具。在這一背景下企業安全將面臨重重危機。
供應鏈攻擊事件
供應商造成的重大網絡入侵事件層出不窮。2014年Target數據泄漏事件,起因是由于第三方HVAC(供熱通風與空氣調節)承包商對安全的疏忽。今年Equifax將其大型數據泄露歸咎于他們使用的第三方軟件的漏洞。而他們將其網站上的一個惡意下載鏈接,歸咎于另一家供應商。
還有“天堂文件”(Paradise Papers)事件,泄露了超過1300萬份詳細記錄大型企業,政界人士和名人離岸避稅行為的文件。其泄露源頭正如去年的“巴拿馬文件”(Panama Papers) 事件,是一家律師事務所——一個其中最薄弱的環節。
供應鏈攻擊概況
這些事件并不是孤立的。根據波耐蒙研究所(Ponemon Institute)在2018年秋季進行的一項調查,56%的組織機構遭遇過由他們某個供應商造成的網絡入侵。同時,每個組織機構中,能夠接訪問敏感信息的第三方平均數量由378增加到了471。這個數量可能有些少,但是只有35%的組織機構擁有正在與他們共享敏感信息的所有第三方名單。
只有18%的企業表示,他們知道這些供應商是否在和其他供應商分享這些信息。這是一個問題,因為客戶并不關心是否是公司本身,還是該公司的供應商泄露了數據。
出于上述原因,企業正在加大對第三方數據泄露風險的監控力度。2018年12月,波耐蒙研究所發布的網絡風險報告(Ponemon Institute Cyber Risk Report)中發現,第三方濫用或者未經授權共享機密數據,是2019年IT專業人士擔心的第二大安全問題(64%)。有41%的受訪人員表示在過去24個月里經歷過與第三方相關的安全事件。
當你發覺風險不會隨著與供應商合作終止而消失時,問題會變得更糟糕。這個秋天,澳大利亞多米諾(Domino)披薩發生了一起安全事件,稱一家前供應商的系統泄露了客戶姓名和電子郵件地址。Prevalent公司第三方戰略高級主管Brad Keller表示:
大部分我審核的合同,并沒有包含對管理復雜的合作終止流程需要的詳細信息。
此外,監管機構也越來越關注第三方帶來的風險。去年,紐約州金融監管機構開始要求金融機構在紐約設有辦公室,以確保這些機構供應商的網絡安全保護措施達到了標準。
明年,歐洲也會采取同樣的措施,其頒布的《通用數據保護條例》(General Data Protection Regulation ,GDPR))適用于所有收集歐洲用戶個人信息的公司。
Thales e-Security戰略與營銷副總裁Peter Galvin表示,第三方風險監管仍處于初級階段,很多公司并不能很好地應對這些風險。
金融機構已經習慣了這些,而且準備更加充分。但是很多公司并沒有意識到這些風險,你會看到入侵事件將會增加,而且會看到更多的法律行動。
專家預計將會有更多的監管機構開始要求企業對第三方風險采取更多的措施。Focal Point Data Risk公司數據隱私事務負責人Eric Dieterich表示:這是現在可以看到的一個持續的趨勢。
隱藏在硬件和軟件供應鏈背后的風險
幾乎每家公司都在使用來自外部的軟件和硬件。由于開源經濟的繁榮,沒有人會再從零開始構建他們的技術了。但是在這種習慣背后,存在著巨大的風險。每個購入的設備,下載的應用,都需要進行審查并監控其潛在的安全威脅,并且所有的補丁都必須是最新的。
今年四月,Flash Intelligence的研究人員表示,犯罪分子正在加強對流行的開源電子商務平臺Magento 的攻擊,試圖通過暴力破解密碼來竊取信用卡記錄和植入專門密碼挖掘的惡意軟件。
研究人員發現Magento至少有1000個管理面板被入侵,并且深網和暗網對該平臺興趣從2016年起就有增無減。此外,Powerfront CMS和OpenCar也引起了人們濃厚的興趣。
去年,Magento社區版(Magento Community Edition) 中的一個CSRF漏洞導致20萬家在線零售商的網絡數據處于裸奔的邊緣。如果被利用,這個漏洞可以用來入侵整個系統,從而暴露含有敏感客戶信息的數據庫。由于商業版本的Magento共享相同的底層代碼,人們沒有理由不擔心企業運營也會受到影響。
不僅一家公司自身的的數據面臨風險,如果有漏洞的軟件或者硬件組件被用于一個產品當中,可能會導致更多根本的安全問題。一個感染安全后門的電腦芯片,一個沒有強認證的相機或者是一個不良的軟件組件都能造成大規模破壞。例如Heartbleed漏洞,感染了數百萬網站和移動設備以及很多大型供應商生產的軟件,包括Oracle(甲骨文),VMware和Cisco(思科)。
思科系全球價值鏈首席安全官Edna Conway表示:
我們擔心被操縱,我們擔心國家和行業層面上的間諜活動,我們也擔心被干擾。例如,硬件或者軟件產品可能在供應鏈的某個環節被蓄意篡改,或者被偽造品所替代。
Conways表示,思科同時也擔心因為第三方漏洞而造成的機密信息或敏感知識產權泄露。思科致力于提供合理的解決方案。如果你的客戶不滿意,你的信譽就會受損,這就會影響企業經營。這種信任是絕對必要的,而信任通過信譽的方式在商業活動中體現。
很多企業都有供應商必須滿足的質量標準。思科在安全方面采用相同的方法。
我們采用的方案能夠允許企業根據第三方供應商符合我們的價值觀和目標的程度,建立相應的容忍等級,并根據第三方供應商提供的產品和服務的獨特性進行調整。一旦有了容忍等級,你就可以開始衡量你是否處于,高于或者低于容忍水平。如果他們超過了容忍水平,我們可以一起坐下來談談 ‘我們怎么能夠一起解決這個問題?’。
云供應商安全風險
單一,精簡的組織機構已經被數字生態系統所取代,在這個系統中里,從單個應用程序到整個數據中心都轉移到了云供應商手中。你想要保護的東西已經遠在你的環境外。而且黑客很聰明。他們會走捷徑。
Kneip表示,如今甚至硬件也開始走向云計算。汽車生產線中基于物聯網的焊接工具默認設置是向制造商發送診斷信息,以便他們進行預測性維護。這聽起來很棒,但是這也可能成為潛入你所有環境的一個通道。
專業服務供應商可能更不安全
安全供應商CrowdStrike,歐洲、中東及非洲(EMEA)銷售工程主管John Titmus表示:安全真的只取決于最薄弱的環節。供應鏈攻擊正在變得更加廣泛,其頻率和復雜程度也在不斷增加。你需要知道風險的本質,并且圍繞它規劃安全路線圖。
這個夏天,共和黨全國委員會(Republican National Committee)合作的營銷公司Deep Root Analytics,泄露了2億選民的個人數據。這是一個小型公司,根據其在LiknedIn上的資料,其員工人數不到50人。Deep Root Analytics不小心將數據放到了可公開訪問的服務器上。
大型服務供應商也同樣容易受到攻擊。涉及到600萬客戶記錄的Verizon數據泄漏事件,是由其客戶服務分析供應商Nice Systems造成的。Nice將6個月的客戶服務通話記錄(包括賬戶和個人信息),放在了一個公共Amazon S3存儲服務器上。
Nice報告其公司擁有3500名員工,為超過85%的《財富》 100強企業提供服務。與德勤(Deloitte), 一個擁有超過25萬員工的會計事務所相比,Nice只能算是一個小公司了。事后,德勤承認黑客能夠訪問到其部分藍籌客戶的郵件和機密計劃。根據報告,攻擊者利用管理員賬戶薄弱的訪問控制,獲得了訪問權限。
卡巴斯基實驗室(Kaspersky Lab)首席安全研究員Kurt Baumgartner表示:如果我們能看到攻擊者通過攻擊更多的供應商來達到他們的最終目標,我們不會感到意外。
如何管理第三方風險:第一步
對第三方網絡安全風險進行正確的監管能夠帶來超出合規利益的紅利。根據Ponemon報告,這實際上減少了入侵事件發生的可能性。該研究的贊助商,Opus Global公司創新和聯盟副總裁Dov Goldman表示:如果你可以將數據泄露事件發生的概率減少20個百分點。
具體而言,如果一家企業能夠對所有供應商的安全和隱私政策進行評估,事故發生的可能性將會從66%降至46%。這需要包括所有供應商,Goldman補充道。
大型合作關系并不一定帶來最大的風險。最大的供應商可能已經部署了詳盡的網絡安全防御措施。但是如果你去看那些小一點的企業,他們并沒有同樣級別的網絡安全監管措施。
一旦企業了解了其所有供應商,以及哪些供應商能夠訪問敏感數據,就可以使用各種工具來評估他們的安全等級。例如,一些公司在與他們供應商服務水平協議中加入了安全相關條款,云安全公司Evident首席執行官Tim Prendergast說道。
要求供應商簽訂協議來表明他們對安全的承諾,我們看到了進步。他們要求這些供應商對他們的合作伙伴采取相似的監管。我們將會看到一系列相關的法律合同。
供應商可能會被要求進行自我評估,允許客戶訪問,審查或購買網絡保險。有時候,進行一次更徹底的評估是有必要的。Kudelski Security研究主管Ryan Spanier表示: 我們看到很多企業對他們的服務供應商進行了審計。我們合作的一家大型金融機構需要進行審計,需要在現場進行他們自己的滲透測試,來查看數據的分布以及其受保護程度。
然而,小型客戶可能沒有那么大的權威。他們只要求第三方的審計證明,根據其結果進行審查。然后他們會要求企業在繼續合作前,解決發現的問題。你也可以將范圍鎖定在那些你知道安全工作做的好的企業,但是這很困難,因為目前這樣的企業并不多。
此外,還有一些提供安全評分的組織機構。例如,BitSight Technologies和SecurityScorecard會查看外部供應商,根據面對攻擊其網絡達到的安全程度,來對企業進行評分。
為了進行更深入的評估,查看供應商的內部政策和流程,Deloitte(德勤)和CyberGRX已經聯手進行審核和持續性評估,以避免供應商需要單獨對每個客戶進行回應。Aetna首席運營官Jim Routh表示:現在的企業需要將第三方網絡安全當做一個商業風險進行持續管理。CyberGRX Exchange(網絡風險信息交換平臺)使得所有公司都能采用這種方法。
有一些金融機構正在做相似的事情。11月,美國運通(American Express),美國銀行(Bank of America),摩根大通(JPMorgan)和富國銀行(Wells Fargo)聯合建立了名為TruSight的供應商評估服務。6月,巴克萊銀行(Barclays),高盛集團(Goldman Sachs),匯豐銀行(HSBC)和摩根士丹利(Morgan Stanley)宣布,他們將入股IHS Markit的Know Your Third Party風險管理解決方案。
公司應該通過審查第三方是如何訪問他們的機密數據,來確保只有授權人員因為特定目標訪問相關數據。根據Ponemon網絡風險報告,42%的受訪者表示要加強對第三方訪問機密數據的管控。
如今,第三方風險管理需要新的方案,一個能夠使企業了解數字生態系統的風險所在,能夠根據這些風險調整管控措施,并能夠與他們的第三方進行合作來修復和減輕這些風險的方案。
波耐蒙研究所2018年秋季報告地址:
https://www.opus.com/resources/
Ponemon報告地址:
https://www.tenable.com/cyber-exposure/ponemon-cyber-risk-report