Ryan+Francis

很多企業(yè)在缺乏內(nèi)部資源時(shí)都會(huì)聘請(qǐng)第三方提供商來(lái)填補(bǔ)空白。通常會(huì)允許第三方供應(yīng)商訪問(wèn)其網(wǎng)絡(luò)。但是幾年前由于HVAC供應(yīng)商安全性不足導(dǎo)致Target的網(wǎng)絡(luò)被攻破之后，人們關(guān)注的重點(diǎn)就一直是怎樣讓第三方訪問(wèn)網(wǎng)絡(luò)而又不會(huì)帶來(lái)安全漏洞。

使用第三方提供商是非常常見的，隨之而來(lái)的泄露事件也是如此。身份識(shí)別風(fēng)險(xiǎn)和生活方式解決方案提供商SecZetta聲稱，平均而言，40%的員工來(lái)自第三方。Soha Systems最近進(jìn)行的一項(xiàng)調(diào)查顯示，63%的數(shù)據(jù)泄露可歸因于第三方。SecZetta的一篇博客文章說(shuō)：“越來(lái)越多的依賴第三方員工，加上黑客也越來(lái)越老練，導(dǎo)致很多企業(yè)目前都面臨身份和訪問(wèn)管理危機(jī)——無(wú)論他們是否意識(shí)到這一點(diǎn)?！?/p>

Exabeam的首席營(yíng)銷官Rick Caccia解釋說(shuō)，Target的泄露事件說(shuō)明即使是值得信賴的合作伙伴也會(huì)帶來(lái)風(fēng)險(xiǎn)。一方面，他們通?？梢栽L問(wèn)企業(yè)環(huán)境中最敏感的數(shù)據(jù)和系統(tǒng)。另一方面，企業(yè)對(duì)合作伙伴自身的安全流程幾乎不做調(diào)查，并不真正了解合作伙伴的員工及其日常工作例程。

Bugcrowd業(yè)務(wù)副總裁David Baker說(shuō)：“很多首席安全官的經(jīng)驗(yàn)是，只使用那些做得比你好第三方。那么無(wú)論是提供封裝還是管理您的數(shù)據(jù)中心，如果外包第三方做得更好，那么是可以使用他們的。這就延伸到安全問(wèn)題?！?/p>

他說(shuō)，例如，許多企業(yè)將其數(shù)據(jù)中心外包給亞馬遜網(wǎng)絡(luò)服務(wù)（AWS），這不僅是因?yàn)樵贏WS上開發(fā)技術(shù)要比企業(yè)自己實(shí)現(xiàn)的更好，而且還因?yàn)槠浒踩砸獌?yōu)于企業(yè)自己進(jìn)行建設(shè)。

Baker說(shuō)：“如果您使用第三方并希望避免出現(xiàn)類似Target的情況，那么就需要有一個(gè)流程來(lái)選擇這些第三方，并且流程標(biāo)準(zhǔn)的很大一部分應(yīng)該是關(guān)于安全的。在安全方面，您一定要判斷出他們是否做得比您更好。”

Agari首席科學(xué)家Markus Jakobsson指出，與第三方供應(yīng)商合作最大的缺點(diǎn)是失去對(duì)安全的控制。每家供應(yīng)商不僅在企業(yè)網(wǎng)絡(luò)上為網(wǎng)絡(luò)犯罪分子入侵提供了新的入口點(diǎn)，而且還意味著該供應(yīng)商的每名員工現(xiàn)在都有可能成為讓您的品牌受到損害的潛在目標(biāo)。然而，確保企業(yè)不會(huì)面臨更大風(fēng)險(xiǎn)的唯一方法就是把一切都保持在內(nèi)部。但在今天的數(shù)字世界中，這不切實(shí)際。

ObserveIT 首席執(zhí)行官M(fèi)ike McKee說(shuō)，缺乏對(duì)第三方提供商用戶的深入了解——無(wú)論是無(wú)意的還是有意的，都會(huì)帶來(lái)巨大的安全隱患。

他說(shuō)：“任何企業(yè)都必須明確哪些外部合作方能夠訪問(wèn)系統(tǒng)和數(shù)據(jù)，并制定了安全程序以及這些用戶要嚴(yán)格遵循的政策，還要有有效的技術(shù)措施來(lái)監(jiān)視和探測(cè)第三方是否會(huì)給企業(yè)帶來(lái)風(fēng)險(xiǎn)。”

Verint Systems網(wǎng)絡(luò)產(chǎn)品管理和業(yè)務(wù)發(fā)展副總裁Yitzhak（Itzik）Vager說(shuō)，如果由于開展業(yè)務(wù)而導(dǎo)致您的網(wǎng)絡(luò)容易受到第三方的攻擊，那么一定會(huì)讓您付出代價(jià)。例如，制造商直接與供應(yīng)商聯(lián)系來(lái)管理即時(shí)生產(chǎn)。會(huì)計(jì)部門與外部發(fā)票和收據(jù)系統(tǒng)相連接，營(yíng)銷部門已經(jīng)授權(quán)給所有類型的自動(dòng)化解決方案可以訪問(wèn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

“企業(yè)可以假設(shè)他們已經(jīng)被第三方攻破，在網(wǎng)絡(luò)中留下了漏洞，因此他們需要采用檢測(cè)和應(yīng)對(duì)區(qū)域解決方案，從全局考慮，通過(guò)探測(cè)整個(gè)網(wǎng)絡(luò)、端點(diǎn)設(shè)備和有效載荷來(lái)實(shí)現(xiàn)全面的可見性?！?/p>

Absolute的全球安全策略師Richard Henderson對(duì)此表示同意?！霸诖蠖鄶?shù)情況下，公司沒有辦法了解這些合作伙伴是否有漏洞，是否有可能成為攻擊的犧牲品。除此之外，監(jiān)管機(jī)構(gòu)（和客戶）真的并不關(guān)心是不是要有人負(fù)責(zé)，這似乎是一場(chǎng)無(wú)休止的戰(zhàn)斗。被破壞之后，企業(yè)去收拾殘局，干苦差事，并承擔(dān)責(zé)任?！?/p>

Radware安全解決方案副總裁Carl Herberger說(shuō)，業(yè)務(wù)部門面臨著巨大的壓力，他們要采用新解決方案讓產(chǎn)品及時(shí)面市，并降低成本。通常，安全是次要考慮。

Herberger說(shuō)：“很多這些業(yè)務(wù)部門不具備評(píng)估安全要求的技能或者知識(shí)，他們會(huì)與供應(yīng)商合作，而這些供應(yīng)商可能會(huì)讓公司網(wǎng)絡(luò)暴露在攻擊之下?！?/p>

集裝箱保安公司Aqua Security的首席技術(shù)官Amir Jerbi指出，不管什么原因，如果一個(gè)企業(yè)讓第三方進(jìn)入到自己的網(wǎng)絡(luò)中，該第三方將成為其安全周界的重要組成部分。因此，企業(yè)應(yīng)該對(duì)其第三方的安全措施和做法進(jìn)行審查，并確保他們的與自己的一致，更進(jìn)一步，定期檢查和測(cè)試這些做法，確定他們是否還合規(guī)。這些檢查應(yīng)覆蓋系統(tǒng)、流程和人員。

Alertsec的首席執(zhí)行官Ebba Blitz建議一定要讓每個(gè)人都遵守您的規(guī)則。如果要求您自己的員工對(duì)硬盤全面加密，那么一定也要讓第三方這樣做。有太多的第三方從未知設(shè)備登錄到您的網(wǎng)絡(luò)——您無(wú)法管理也不能控制的設(shè)備，除非他們?cè)谀木W(wǎng)絡(luò)中進(jìn)行了注冊(cè)。確保數(shù)據(jù)只傳送給了加密設(shè)備——無(wú)論它們是否注冊(cè)到您的IT基礎(chǔ)架構(gòu)中。

第三方風(fēng)險(xiǎn)管理

市場(chǎng)已經(jīng)推出了第三方風(fēng)險(xiǎn)管理程序來(lái)解決這個(gè)難題。這樣的程序會(huì)弄清楚第三方是在國(guó)內(nèi)還是國(guó)外，使用企業(yè)發(fā)行的設(shè)備還是個(gè)人設(shè)備，已經(jīng)進(jìn)行了背景檢查，以及他們是否為企業(yè)執(zhí)行關(guān)鍵功能等。

Sungard Availability Services安全咨詢經(jīng)理Asher DeMetz指出：“當(dāng)涉及到網(wǎng)絡(luò)世界時(shí)，供應(yīng)商必須證明他們理解安全，并制定了成熟的安全程序，包括政策和員工培訓(xùn)等?！边B接到公司網(wǎng)絡(luò)的任何第三方系統(tǒng)都應(yīng)具備適當(dāng)?shù)臉I(yè)務(wù)功能，有相應(yīng)的管理員，并符合公司自身的安全程序（安全、受監(jiān)視、受控）。

DeMetz補(bǔ)充說(shuō)：“應(yīng)采用正確的安全控制和安全測(cè)試認(rèn)證以及合規(guī)性檢查對(duì)軟件和硬件進(jìn)行驗(yàn)證。如果第三方正在更改配置，則必須通過(guò)適當(dāng)?shù)淖兏芾砬纴?lái)確保他們符合安全程序，并且不會(huì)給環(huán)境帶來(lái)風(fēng)險(xiǎn)。”

Bluelock工程總監(jiān)Derek Brost說(shuō)：“由于各種原因，涉及外部人員的風(fēng)險(xiǎn)管理是非常具有挑戰(zhàn)性的工作。應(yīng)考慮兩個(gè)主要因素。首先，充分參與法律顧問(wèn)的工作，以確保合同的責(zé)任、義務(wù)和行為準(zhǔn)則。作為擔(dān)保，如果出現(xiàn)問(wèn)題，還應(yīng)允許強(qiáng)制執(zhí)行或者訴諸法律，以減少損失或者損害。其次，以認(rèn)證管理、及時(shí)的活動(dòng)分析，特別是審計(jì)審核的形式，不斷的分配資源，對(duì)外部活動(dòng)進(jìn)行適當(dāng)?shù)墓芾砗捅O(jiān)督。”

Brost說(shuō)，遺憾的是，企業(yè)通常借助第三方來(lái)降低成本或者“快速修復(fù)”，所以管理外部人員的預(yù)算可能不夠，總成本也不一定支持提供足夠的投資。然而，像所有風(fēng)險(xiǎn)管理活動(dòng)一樣，應(yīng)把這些成本作為整體承擔(dān)和潛在損失的一部分來(lái)提前考慮。

Coalfire總裁兼聯(lián)合創(chuàng)始人Kennet Westby說(shuō)，每家企業(yè)都應(yīng)該有魯棒的第三方供應(yīng)商管理程序，用于支持對(duì)關(guān)鍵供應(yīng)商所承諾服務(wù)的檢驗(yàn)。供應(yīng)商管理流程應(yīng)能夠檢驗(yàn)?zāi)墓?yīng)商是否具有內(nèi)部安全控制機(jī)制。如果您的供應(yīng)商管理程序要求這些第三方以比內(nèi)部控制更嚴(yán)格的標(biāo)準(zhǔn)來(lái)運(yùn)行，那么您實(shí)際上能夠比內(nèi)部管控更有效地降低風(fēng)險(xiǎn)。

這就給我們帶來(lái)了身份訪問(wèn)管理。正如SecZetta在博客文章中所解釋的那樣，大多數(shù)公司不會(huì)有人或者部門去負(fù)責(zé)管理非公司員工身份（人員數(shù)據(jù)）及其關(guān)系。IT可能會(huì)提供訪問(wèn)權(quán)限，但非公司員工變更后的第一次訪問(wèn)和管理將由人力資源部門或者采購(gòu)部門負(fù)責(zé)。

這是一個(gè)挑戰(zhàn)，特別是非公司員工比內(nèi)部員工更容易獲得敏感信息的情況下。如果允許一名非公司員工有九個(gè)月的時(shí)限訪問(wèn)這些敏感系統(tǒng)，但在六個(gè)月后提前完成了工作，那么非公司員工還會(huì)有三個(gè)月的時(shí)間可以訪問(wèn)敏感系統(tǒng)。據(jù)SecZetta，這正是黑客在嘗試滲透系統(tǒng)和竊取數(shù)據(jù)時(shí)要尋找的賬戶類型。

Bay Dynamics的聯(lián)合創(chuàng)始人兼首席技術(shù)官Ryan Stolte指出，應(yīng)一直跟蹤那些承擔(dān)重要任務(wù)的人。不一定面面俱到，也不必為每一家供應(yīng)商的每一個(gè)用戶都提供安全保障，但安全部門必須非常注意那些訪問(wèn)公司最有價(jià)值的應(yīng)用程序和系統(tǒng)的人員。

他說(shuō)，有效的供應(yīng)商風(fēng)險(xiǎn)管理流程首先要確定您最有價(jià)值的東西，如果這些受到損害，知道會(huì)對(duì)您的企業(yè)產(chǎn)生怎樣的影響。然后，看看哪些供應(yīng)商可以訪問(wèn)這些最有價(jià)值的東西，持續(xù)監(jiān)控供應(yīng)商用戶的活動(dòng)，以及他們的團(tuán)隊(duì)成員和所屬集團(tuán)的相關(guān)用戶的活動(dòng)。如果您的安全工具提示供應(yīng)商用戶有不正常行為，那么重要的是告知應(yīng)用程序管理員現(xiàn)在出現(xiàn)了危險(xiǎn)，要求管理員確定該行為是否正常，是不是符合業(yè)務(wù)要求。如果行為不正常，則應(yīng)立即開展對(duì)這一威脅警報(bào)的調(diào)查。

他說(shuō)：“要考慮到第三方供應(yīng)商往往并非有意造成威脅，這一點(diǎn)非常重要。通常，供應(yīng)商員工的網(wǎng)絡(luò)安全意識(shí)趕不上全職員工，因此無(wú)意中會(huì)使您的公司面臨風(fēng)險(xiǎn)?！?/p>

Viewpost的首席安全官Chris Pierson說(shuō)，擁有完善的供應(yīng)商核查程序是監(jiān)督、量化、溝通和減輕風(fēng)險(xiǎn)的必要條件。這一程序應(yīng)考慮供應(yīng)商的公司使命、目標(biāo)和目的，并提供審查流程，審查所有類型的風(fēng)險(xiǎn)——網(wǎng)絡(luò)安全、隱私、法規(guī)/法律、財(cái)務(wù)、運(yùn)營(yíng)和聲譽(yù)等。

然后應(yīng)根據(jù)風(fēng)險(xiǎn)管控委員會(huì)批準(zhǔn)的損害程度、社會(huì)化影響等因素對(duì)所有供應(yīng)商風(fēng)險(xiǎn)進(jìn)行打分，由負(fù)責(zé)產(chǎn)品/服務(wù)的業(yè)務(wù)線主管掌握打分結(jié)果。Pierson說(shuō)：“根據(jù)他們提供的產(chǎn)品/服務(wù)的關(guān)鍵性以及風(fēng)險(xiǎn)來(lái)評(píng)估您的供應(yīng)商，公司可以更全面地管理這些風(fēng)險(xiǎn)，申請(qǐng)減輕對(duì)供應(yīng)商的控制，或者不再使用供應(yīng)商。”

CrowdStrike產(chǎn)品管理副總裁Rod Murchison說(shuō)，在安全方面，事后諸葛是不行的。他說(shuō)：“每家企業(yè)都應(yīng)該努力做到實(shí)時(shí)了解網(wǎng)絡(luò)的安全狀況，并一直保持下去?！?/p>

他補(bǔ)充說(shuō)，為了減輕這類威脅，最復(fù)雜的端點(diǎn)安全解決方案可以實(shí)時(shí)感知和分析足夠的數(shù)據(jù)，以確保實(shí)時(shí)觀察到違規(guī)行為和入侵。這些新解決方案利用了機(jī)器學(xué)習(xí)、人工智能和分析技術(shù)的發(fā)展，因此企業(yè)能夠很快觀察到第三方無(wú)意或者故意留下的漏洞，并及時(shí)補(bǔ)上漏洞。

隨著全球隱私法規(guī)政策的完善，例如，“一般數(shù)據(jù)保護(hù)條例（GDPR）”，要求在數(shù)據(jù)的整個(gè)生命周期中控制其使用，這一點(diǎn)顯得非常重要。Focal Point Data Risk的數(shù)據(jù)隱私實(shí)踐負(fù)責(zé)人Eric Dieterich說(shuō)，強(qiáng)大的訪問(wèn)管理控制功能會(huì)有所幫助，但是通常需要進(jìn)行數(shù)據(jù)屏蔽和匿名化處理，以便管理對(duì)關(guān)鍵數(shù)據(jù)域的訪問(wèn)。

有什么解決方案？

Axiomatics業(yè)務(wù)發(fā)展副總裁Gerry Gebel指出，應(yīng)全面采用具有動(dòng)態(tài)上下文環(huán)境訪問(wèn)控制功能的分層安全方法對(duì)第三方訪問(wèn)進(jìn)行控制。例如，安全的第一層是動(dòng)態(tài)地控制誰(shuí)可以訪問(wèn)您的網(wǎng)絡(luò)。一旦這些第三方出現(xiàn)在網(wǎng)絡(luò)上，另一層就是控制對(duì)API、數(shù)據(jù)和其他資產(chǎn)的訪問(wèn)。

Caccia建議，第三方訪問(wèn)資產(chǎn)是行為分析的完美場(chǎng)景，在這種場(chǎng)景中，網(wǎng)絡(luò)上用戶的系統(tǒng)基本行為都是正常的，對(duì)這些用戶到底是誰(shuí)知之甚少。他說(shuō)：“用戶行為分析（UBA）應(yīng)該是與合作伙伴廣泛進(jìn)行合作的任何公司必備的工具；這是理解和控制那些已經(jīng)被刪除的用戶對(duì)您網(wǎng)絡(luò)和數(shù)據(jù)做了什么的最好方法，也許是唯一的方法。”

Henderson建議公司一定要加強(qiáng)再加強(qiáng)供應(yīng)商管理管控政策。這應(yīng)包括對(duì)這些供應(yīng)商進(jìn)行定期和隨機(jī)審核的政策。審核應(yīng)能夠返回可量化和可定義的指標(biāo)。

另外，在和這些供應(yīng)商制定并起草合同時(shí)，重要的是應(yīng)該含有適當(dāng)?shù)膬?nèi)容，明確規(guī)定供應(yīng)商的安全和隱私義務(wù)。

Henderson說(shuō)：“把‘?dāng)?shù)據(jù)金絲雀插入到與第三方共享的記錄集中，然后看看這些‘金絲雀是不是會(huì)出現(xiàn)在網(wǎng)上，我覺得這個(gè)主意不錯(cuò)。您會(huì)驚訝的發(fā)現(xiàn)，數(shù)據(jù)被頻繁的泄漏到網(wǎng)上，出現(xiàn)在像pastebin這樣的地方。關(guān)于這個(gè)問(wèn)題，還有一點(diǎn)讓我感到非常不安的是，一個(gè)非常簡(jiǎn)單的事實(shí)——我們所有的員工、資源、工具和技術(shù)常常被打敗的原因，只不過(guò)是因?yàn)橐恍┲袑庸芾碚甙汛罅康目蛻魯?shù)據(jù)放在電子表格中，然后通過(guò)電子郵件發(fā)送給與業(yè)務(wù)部門合作但以前不了解的第三方，目的是通過(guò)電子郵件開展?fàn)I銷活動(dòng)?！?/p>

他建議，對(duì)于企業(yè)而言，一個(gè)重要的教訓(xùn)是一定不要讓第三方訪問(wèn)網(wǎng)絡(luò)的某些地方。他說(shuō)：“對(duì)您的環(huán)境進(jìn)行細(xì)分，采用其他工具讓數(shù)據(jù)流不要混雜在一起，這樣做可以阻止攻擊者，或者至少減慢他們的攻擊，為您的安全部門留出寶貴的時(shí)間來(lái)檢測(cè)事件，并及時(shí)應(yīng)對(duì)?！?/p>

AlienVault的安全主管Javvad Malik指出，雖然不能避免使用第三方，但是有很多基本的安全措施可以幫助減輕風(fēng)險(xiǎn)。這方面的例子包括：

了解您的資產(chǎn)——通過(guò)了解您的資產(chǎn)，特別是關(guān)鍵資產(chǎn)，可以更容易地確定第三方能夠訪問(wèn)哪些系統(tǒng)，而哪些系統(tǒng)不能訪問(wèn)。

監(jiān)視控制——通過(guò)有效的監(jiān)控，確定第三方是否只訪問(wèn)他們能夠訪問(wèn)的系統(tǒng)，而且是以允許的方式進(jìn)行訪問(wèn)。行為監(jiān)控可以在這方面發(fā)揮作用，突出顯示哪些活動(dòng)超出了正常參數(shù)范圍。

隔離——通過(guò)隔離網(wǎng)絡(luò)和資產(chǎn)，在某一特定區(qū)域可以有漏洞。

核查——主動(dòng)的定期進(jìn)行核查，確保所實(shí)施的安全控制正在按預(yù)期工作。

FireEye首席顧問(wèn)Jeremy Koppen指出，應(yīng)重視有關(guān)第三方訪問(wèn)的四個(gè)安全控制措施：

為每個(gè)供應(yīng)商用戶分配唯一的用戶帳戶，以便更好地監(jiān)控每個(gè)帳戶的活動(dòng)，發(fā)現(xiàn)異?；顒?dòng)。

要求雙重身份驗(yàn)證才能訪問(wèn)應(yīng)用程序和資源，能夠直接或者間接的訪問(wèn)內(nèi)部網(wǎng)絡(luò)。當(dāng)供應(yīng)商的用戶身份被攻擊時(shí)，這可以保護(hù)企業(yè)不受影響。

限制所有第三方帳戶，只允許他們?cè)L問(wèn)所需的系統(tǒng)和網(wǎng)絡(luò)。

與第三方關(guān)系終止后，禁用環(huán)境中的所有帳戶。

在企業(yè)應(yīng)用開發(fā)環(huán)境中，Jerbi看到很多公司由于第三方使用虛擬容器等新技術(shù)導(dǎo)致無(wú)法進(jìn)行防護(hù)。如果一家公司使用來(lái)自第三方的容器式應(yīng)用程序，那么要針對(duì)該應(yīng)用程序進(jìn)行專門的容器安全風(fēng)險(xiǎn)審查，例如容器鏡像中的漏洞、硬編碼密鑰和配置缺陷等。

Baker說(shuō)，在選擇供應(yīng)商時(shí)，可以參考很多最佳實(shí)踐：他們的安全透明程度高嗎？他們是否有第三方安全測(cè)試？他們公布測(cè)試結(jié)果了嗎？他說(shuō)：“最終，只是選擇安全供應(yīng)商還無(wú)法防止類似Target的事件再次發(fā)生，但與您合作的第三方公司不會(huì)成為薄弱環(huán)節(jié)。”