Maria Korolov

供應(yīng)鏈攻擊也被稱為價值鏈或第三方攻擊，攻擊者利用有權(quán)訪問企業(yè)系統(tǒng)和數(shù)據(jù)的外部合作伙伴或提供商入侵企業(yè)的系統(tǒng)。隨著越來越多的供應(yīng)商和服務(wù)提供商開始接觸到敏感數(shù)據(jù)，企業(yè)的攻擊面在過去幾年里發(fā)生了重大變化。

由于攻擊類型是新的，加之公眾對威脅的意識不斷增強和監(jiān)管部門加大了監(jiān)管力度，與供應(yīng)鏈攻擊相關(guān)的風(fēng)險意識并沒有提升。與此同時，為了制造一個“完美風(fēng)暴”，攻擊者比以前有了更多的可用資源和工具。

供應(yīng)鏈攻擊的示例與范圍

由供應(yīng)商導(dǎo)致的重大網(wǎng)絡(luò)泄密事件從來都沒有停止過。2014年美國零售巨頭塔吉特（Target）的大規(guī)模數(shù)據(jù)泄露事件是由HVAC（供熱通風(fēng)與空氣調(diào)節(jié)）廠商在安全方面的疏忽所導(dǎo)致的。美國知名征信機構(gòu)Equifax去年將其出現(xiàn)的嚴(yán)重數(shù)據(jù)泄漏事件歸咎于所使用的外部軟件帶來漏洞，他們還將網(wǎng)站上出現(xiàn)惡意下載鏈接的情況歸咎于另一家廠商。

此外，還有“天堂文件”事件曝光了大約1300萬份詳細(xì)介紹了知名公司、政治人物、社會名流如何進(jìn)行離岸避稅的文件。源頭是什么？和前年的“巴拿馬文件”事件一樣，法律事務(wù)所成為了最薄弱的一環(huán)。

這些并不是孤立的事件。據(jù)安全研究機構(gòu)Ponemon Institute去年秋季的調(diào)查顯示，56%的機構(gòu)曾經(jīng)出現(xiàn)過因供應(yīng)商導(dǎo)致的數(shù)據(jù)泄露。在每家機構(gòu)中，有權(quán)訪問其敏感數(shù)據(jù)的第三方廠商的平均數(shù)量由378家增長到了471家。這個數(shù)字可能有點低。僅35%的公司有共享他們敏感數(shù)據(jù)的所有第三方廠商的名單。

僅18%的公司表示他們知道這些廠商是否在與其他供應(yīng)商共享自己的信息。這是一個問題，因為用戶并不關(guān)心是公司的供應(yīng)商還是公司本身泄露了數(shù)據(jù)。

更糟糕的是，在供應(yīng)關(guān)系終止后風(fēng)險并不會隨之消失。Domino's Australia在去年秋季出現(xiàn)了一個安全漏洞，一家前供應(yīng)商的系統(tǒng)泄露了客戶姓名和電子郵件地址。Prevalent公司第三方策略資深主管Brad Keller 稱：“我所看到的大部分合同對于如何管理供應(yīng)關(guān)系終止程序都缺乏詳細(xì)的規(guī)定?！?/p>

與此同時，監(jiān)管部門也正在加大對第三方風(fēng)險的關(guān)注力度。去年，紐約州金融監(jiān)管部門開始要求在當(dāng)?shù)亻_展業(yè)務(wù)的金融公司要確保其供應(yīng)商在網(wǎng)絡(luò)安全防護(hù)上也要達(dá)標(biāo)。

歐洲也將采取相同的舉措。根據(jù)《通用數(shù)據(jù)保護(hù)條例》（GDPR），所有從歐洲收集個人信息的公司都要遵守該條例。GDPR的處罰金額非常大，最高可達(dá)受罰者全球營收的4%。

Thales e-Security的策略與營銷副總裁Peter Galvin指出，第三方風(fēng)險監(jiān)管目前仍然處于起步階段，許多公司對這些風(fēng)險都沒有很好的處理辦法?！敖鹑诠疽呀?jīng)習(xí)慣了這些，并為此做了許多準(zhǔn)備。但是許多公司并不理解這些風(fēng)險，我們將看到數(shù)據(jù)泄露事件變得越來越多，同時也將會看到更多的相關(guān)法律訴訟。”

專家預(yù)計更多的監(jiān)管部門將開始要求公司采取更多措施來應(yīng)對第三方風(fēng)險。Focal Point Data Risk的數(shù)據(jù)隱私實踐主管Eric Dieterich 稱：“我們已經(jīng)看到這是一個大趨勢?！?/p>

隱藏在硬件和軟件供應(yīng)鏈中的風(fēng)險

幾乎每家公司都會使用外部軟件和硬件。得益于開源經(jīng)濟的興起，人們不再需要從零開始自己開發(fā)所有的技術(shù)。但是這種思維模式存在著巨大的風(fēng)險。所有采購的設(shè)備和下載的應(yīng)用都需要經(jīng)過審查，對其中存在的潛在安全風(fēng)險進(jìn)行監(jiān)測并及時更新所有的補丁。

Flashpoint Intelligence的研究人員在4月份稱，犯罪分子正加大力度攻擊流行的開源Magento電子商務(wù)平臺，暴力破解密碼以獲得信用卡記錄以及安裝帶有后門的惡意軟件。

研究人員發(fā)現(xiàn)了至少1000個存在隱患的Magento管理面板，并指出不法分子自2016年以來對存在于深網(wǎng)和暗網(wǎng)上的該平臺的興趣一直未曾減弱過。此外，Powerfront CMS和OpenCart也引起了不法分子的極大興趣。

去年，Magento社區(qū)版的一個CSRF漏洞導(dǎo)致了20萬個在線零售商信息被曝光。由于泄露的數(shù)據(jù)庫包含了敏感的客戶信息，如果被利用的話，那么這一漏洞將導(dǎo)致整個系統(tǒng)受到威脅。由于Magento商業(yè)版共享了相同的底層代碼，因此企業(yè)運營也將會受到影響。

不僅是公司自己的數(shù)據(jù)存在風(fēng)險，如果存在漏洞的軟件或硬件組件被嵌入到產(chǎn)品中還將可能帶來一系列的安全問題。存在安全后門的計算機芯片、沒有高強度認(rèn)證的攝像頭或是存在問題的軟件將會導(dǎo)致重大損失。例如，心臟出血漏洞影響了數(shù)百萬的網(wǎng)站和移動設(shè)備，以及由甲骨文、VMware和思科等知名廠商提供的軟件。

思科全球價值鏈?zhǔn)紫踩貳dna Conway 稱：“我們擔(dān)心被操縱，擔(dān)心被網(wǎng)絡(luò)間諜入侵，擔(dān)心被破壞，政府和行業(yè)層面也是如此?！崩?，硬件或軟件產(chǎn)品會在供應(yīng)鏈的某處被故意篡改或是被假冒產(chǎn)品替代。

Conway指出，思科還擔(dān)心由于第三方數(shù)據(jù)泄露導(dǎo)致其機密信息或敏感的知識產(chǎn)權(quán)受到損害?！拔覀冋铝τ谔峁┠軌蛞栽O(shè)計的運行方式運行的解決方案。如果客戶不滿意或是聲譽受損，那么會影響到一些根本性的東西。值得信任這一因素是必不可少的，同時聲譽也是值得信任這一因素本身所蘊含的商業(yè)價值。”

許多公司都制定有供應(yīng)商必須達(dá)到的質(zhì)量標(biāo)準(zhǔn)。思科在安全方面也采取了相同的措施?！搬槍Φ谌教峁┑亩ㄖ飘a(chǎn)品和服務(wù)，我們的部署方法允許我們對遵守思科價值和目標(biāo)的第三方生態(tài)系統(tǒng)中的成員建立起不同的容忍程度。一旦有了容忍度，你就能衡量他們是高于還是低于容忍度。如果他們低于容忍度，我們會一起坐下來并探討如何共同解決這一問題?！?/p>

云提供商安全風(fēng)險

單一而簡單的組織機構(gòu)已經(jīng)被數(shù)字化生態(tài)系統(tǒng)所取代，從單個應(yīng)用到整個數(shù)據(jù)中心在內(nèi)的所有東西都遷移到了云提供商那里。CyberGRX的首席執(zhí)行官Fred Kneip稱：“我們必須要保護(hù)的東西都遠(yuǎn)離了我們的環(huán)境。黑客非常狡猾，他們會找到一條抵抗程度最低的入侵路徑?！?/p>

Kneip稱，目前甚至連硬件也具備了云功能?！坝糜谧詣舆B網(wǎng)的物聯(lián)網(wǎng)連接工具中的默認(rèn)設(shè)置會向制造商發(fā)送診斷數(shù)據(jù)，以便制造商進(jìn)行預(yù)見性維護(hù)。這聽起來很不錯，但是這同時也為我們的整個環(huán)境撕開了一個口子。”

專業(yè)服務(wù)公司可能更缺乏安全防護(hù)

安全廠商CrowdStrike的EMEA區(qū)工程銷售主管John Titmus稱：“安全性實際上是最薄弱的環(huán)節(jié)。供應(yīng)鏈攻擊正越來越廣泛，越來越頻繁且越來越復(fù)雜。我們要理解這些風(fēng)險的本質(zhì)，并圍繞這些風(fēng)險制定一個安全路線圖?！?/p>

去年夏天，美國共和黨全國委員會所聘用的市場營銷公司Deep Root Analytics泄露了2億多名投票者的個人數(shù)據(jù)。據(jù)Deep Root Analytics在LinkedIn上的簡介顯示，該公司規(guī)模不大，只有不到50名員工。在這起事件中，Deep Root Analytics意外地將數(shù)據(jù)放在了能夠被公眾訪問的服務(wù)器上。

規(guī)模更大的服務(wù)公司也會出現(xiàn)漏洞。導(dǎo)致600多萬條用戶記錄泄露的Verizon數(shù)據(jù)泄露事件是由用戶服務(wù)分析提供商Nice Systems造成的。該公司將6個月的客服電話記錄，包括賬戶和個人信息都放在了公共的亞馬遜S3存儲服務(wù)器上。

Nice的介紹顯示，該公司擁有3500名員工，為《財富》100強排行榜中85%以上的上榜公司提供著服務(wù)。與擁有超過25萬員工的德勤會計師事務(wù)所相比，Nice的規(guī)模實在太小。然而，在去年9月份，德勤會計師事務(wù)所承認(rèn)黑客成功入侵了其部分優(yōu)質(zhì)客戶的電子郵件和機密計劃。據(jù)報道，由于管理員賬戶對訪問控制存在漏洞，導(dǎo)致攻擊者成功獲取了訪問權(quán)限。

卡巴斯基實驗室首席安全研究員Kurt Baumgartner 稱：“如果我們看到攻擊者為了到達(dá)最終要攻擊的目標(biāo)而越來越多地以供應(yīng)側(cè)公司作為跳板展開攻擊，我們一點也不會感到吃驚?！?/p>

如何管理第三方風(fēng)險：首要步驟

對第三方網(wǎng)絡(luò)安全風(fēng)險的適度監(jiān)管會帶來比僅進(jìn)行合規(guī)監(jiān)管更多的好處。據(jù)波耐蒙報告顯示，這一舉措真正降低了發(fā)生數(shù)據(jù)泄露的可能性。該研究報告的贊助公司Opus Global的創(chuàng)新與聯(lián)盟副總裁Dov Goldman稱：“我們可以將發(fā)生數(shù)據(jù)泄露的可能性降低20個百分點。”

尤其是，如果公司對所有供應(yīng)商的安全和隱私策略進(jìn)行了評估，那么發(fā)生數(shù)據(jù)泄露事件的可能性將會由66%下降至46%。Goldman補充道，這一舉措要將所有的供應(yīng)商都包括在內(nèi)。

Goldman 指出，“合作規(guī)模大并不一定代表風(fēng)險最大?！弊畲蟮墓?yīng)商可能已經(jīng)在適當(dāng)?shù)奈恢貌渴鹆藦?fù)雜的網(wǎng)絡(luò)安全防護(hù)措施?！暗侨绻匆幌乱?guī)模較小的供應(yīng)商，他們可能沒有與大供應(yīng)商相同水平的網(wǎng)絡(luò)安全控制?！?/p>

一旦公司搞清楚了所有的廠商，知道哪些廠商有權(quán)訪問他們的敏感數(shù)據(jù)，那么他們可以找到許多工具來幫助評估自己的安全水平。云安全公司Evident的首席執(zhí)行官Tim Prendergast舉例稱，一些公司已經(jīng)將安全性放到了與供應(yīng)商簽訂的服務(wù)等級協(xié)議當(dāng)中。

他稱：“我們正看到一種從要求提供商表明他們安全的承諾到提供相應(yīng)協(xié)議的趨勢。公司要求提供商對他們的合作伙伴也要執(zhí)行相同的控制權(quán)限。我們看到許多這類合同正大量涌現(xiàn)。”

廠商可能會被要求進(jìn)行自我評估，允許客戶進(jìn)行參觀和審查，或是購買網(wǎng)絡(luò)安全保險。有時候，一個更為全面徹底的評估是必要的。Kudelski Security的研究主管Ryan Spanier稱：“我們已經(jīng)看到許多公司在對他們的服務(wù)提供商進(jìn)行審查。我們與之合作的一個大型金融機構(gòu)要求對我們進(jìn)行審查，并派人到我們的公司現(xiàn)場進(jìn)行滲透測試，查看數(shù)據(jù)存儲位置和防護(hù)措施?！?/p>

盡管如此，一些規(guī)模較小的客戶可能并沒有這樣的能力?！八麄冎恍枰峁┑谌綄彶榈淖C明，查看結(jié)果并進(jìn)行評估。在繼續(xù)進(jìn)行合作之前，他們會被要求解決存在的隱患。你還可以選擇自己了解的安全防護(hù)措施較為完善的公司，但是這樣一來事情會變得非常困難，因為目前這樣的公司并不多?！?/p>

此外，市場上還出現(xiàn)了一些專門提供安全考評的組織機構(gòu)。例如，BitSight Technologies 和SecurityScorecard會對外部廠商展開評估，對其網(wǎng)絡(luò)抵御攻擊的安全程度進(jìn)行打分。

在更深層次的評估方面，德勤和CyberGRX已經(jīng)合作展開審查和不間斷的評估，通過關(guān)注廠商的內(nèi)部策略和流程，使得廠商不必再對他們的每個客戶分別進(jìn)行回應(yīng)。Aetna 的首席安全官Jim Routh 稱：“公司目前需要將第三方網(wǎng)絡(luò)風(fēng)險作為應(yīng)進(jìn)行持續(xù)管理的業(yè)務(wù)風(fēng)險對待?！?CyberGRX Exchange使得所有的公司都能夠采取這種方式。

一些金融財團(tuán)也在做相似的事情。去年11月，美國運通、美國銀行、摩根大通和富國銀行合作創(chuàng)建了一個名為TruSight的廠商評估服務(wù)。去年6月，巴克萊銀行、高盛集團(tuán)、匯豐銀行和摩根士丹利宣布他們將參與由IHS Markit推出的Know Your Third Party（了解第三方）風(fēng)險管理方案。

Routh稱，第三方風(fēng)險管理如今需要一些新的方法?！靶碌姆椒ㄒ尮灸軌蛄私怙L(fēng)險隱藏在數(shù)字生態(tài)系統(tǒng)中的何處，并根據(jù)這些風(fēng)險能夠有針對性地調(diào)整控制權(quán)限以及與第三方合作修復(fù)并化解這些風(fēng)險。”