Ryan+Francis

很多企業(yè)在缺乏內(nèi)部資源時都會聘請第三方提供商來填補空白。通常會允許第三方供應(yīng)商訪問其網(wǎng)絡(luò)。但是幾年前由于HVAC供應(yīng)商安全性不足導(dǎo)致Target的網(wǎng)絡(luò)被攻破之后，人們關(guān)注的重點就一直是怎樣讓第三方訪問網(wǎng)絡(luò)而又不會帶來安全漏洞。

使用第三方提供商是非常常見的，隨之而來的泄露事件也是如此。身份識別風(fēng)險和生活方式解決方案提供商SecZetta聲稱，平均而言，40%的員工來自第三方。Soha Systems最近進(jìn)行的一項調(diào)查顯示，63%的數(shù)據(jù)泄露可歸因于第三方。SecZetta的一篇博客文章說：“越來越多的依賴第三方員工，加上黑客也越來越老練，導(dǎo)致很多企業(yè)目前都面臨身份和訪問管理危機——無論他們是否意識到這一點?！?/p>

Exabeam的首席營銷官Rick Caccia解釋說，Target的泄露事件說明即使是值得信賴的合作伙伴也會帶來風(fēng)險。一方面，他們通?？梢栽L問企業(yè)環(huán)境中最敏感的數(shù)據(jù)和系統(tǒng)。另一方面，企業(yè)對合作伙伴自身的安全流程幾乎不做調(diào)查，并不真正了解合作伙伴的員工及其日常工作例程。

Bugcrowd業(yè)務(wù)副總裁David Baker說：“很多首席安全官的經(jīng)驗是，只使用那些做得比你好第三方。那么無論是提供封裝還是管理您的數(shù)據(jù)中心，如果外包第三方做得更好，那么是可以使用他們的。這就延伸到安全問題?！?/p>

他說，例如，許多企業(yè)將其數(shù)據(jù)中心外包給亞馬遜網(wǎng)絡(luò)服務(wù)（AWS），這不僅是因為在AWS上開發(fā)技術(shù)要比企業(yè)自己實現(xiàn)的更好，而且還因為其安全性要優(yōu)于企業(yè)自己進(jìn)行建設(shè)。

Baker說：“如果您使用第三方并希望避免出現(xiàn)類似Target的情況，那么就需要有一個流程來選擇這些第三方，并且流程標(biāo)準(zhǔn)的很大一部分應(yīng)該是關(guān)于安全的。在安全方面，您一定要判斷出他們是否做得比您更好?！?/p>

Agari首席科學(xué)家Markus Jakobsson指出，與第三方供應(yīng)商合作最大的缺點是失去對安全的控制。每家供應(yīng)商不僅在企業(yè)網(wǎng)絡(luò)上為網(wǎng)絡(luò)犯罪分子入侵提供了新的入口點，而且還意味著該供應(yīng)商的每名員工現(xiàn)在都有可能成為讓您的品牌受到損害的潛在目標(biāo)。然而，確保企業(yè)不會面臨更大風(fēng)險的唯一方法就是把一切都保持在內(nèi)部。但在今天的數(shù)字世界中，這不切實際。

ObserveIT 首席執(zhí)行官Mike McKee說，缺乏對第三方提供商用戶的深入了解——無論是無意的還是有意的，都會帶來巨大的安全隱患。

他說：“任何企業(yè)都必須明確哪些外部合作方能夠訪問系統(tǒng)和數(shù)據(jù)，并制定了安全程序以及這些用戶要嚴(yán)格遵循的政策，還要有有效的技術(shù)措施來監(jiān)視和探測第三方是否會給企業(yè)帶來風(fēng)險?！?/p>

Verint Systems網(wǎng)絡(luò)產(chǎn)品管理和業(yè)務(wù)發(fā)展副總裁Yitzhak（Itzik）Vager說，如果由于開展業(yè)務(wù)而導(dǎo)致您的網(wǎng)絡(luò)容易受到第三方的攻擊，那么一定會讓您付出代價。例如，制造商直接與供應(yīng)商聯(lián)系來管理即時生產(chǎn)。會計部門與外部發(fā)票和收據(jù)系統(tǒng)相連接，營銷部門已經(jīng)授權(quán)給所有類型的自動化解決方案可以訪問網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

“企業(yè)可以假設(shè)他們已經(jīng)被第三方攻破，在網(wǎng)絡(luò)中留下了漏洞，因此他們需要采用檢測和應(yīng)對區(qū)域解決方案，從全局考慮，通過探測整個網(wǎng)絡(luò)、端點設(shè)備和有效載荷來實現(xiàn)全面的可見性?！?/p>

Absolute的全球安全策略師Richard Henderson對此表示同意?！霸诖蠖鄶?shù)情況下，公司沒有辦法了解這些合作伙伴是否有漏洞，是否有可能成為攻擊的犧牲品。除此之外，監(jiān)管機構(gòu)（和客戶）真的并不關(guān)心是不是要有人負(fù)責(zé)，這似乎是一場無休止的戰(zhàn)斗。被破壞之后，企業(yè)去收拾殘局，干苦差事，并承擔(dān)責(zé)任?！?/p>

Radware安全解決方案副總裁Carl Herberger說，業(yè)務(wù)部門面臨著巨大的壓力，他們要采用新解決方案讓產(chǎn)品及時面市，并降低成本。通常，安全是次要考慮。

Herberger說：“很多這些業(yè)務(wù)部門不具備評估安全要求的技能或者知識，他們會與供應(yīng)商合作，而這些供應(yīng)商可能會讓公司網(wǎng)絡(luò)暴露在攻擊之下?！?/p>

集裝箱保安公司Aqua Security的首席技術(shù)官Amir Jerbi指出，不管什么原因，如果一個企業(yè)讓第三方進(jìn)入到自己的網(wǎng)絡(luò)中，該第三方將成為其安全周界的重要組成部分。因此，企業(yè)應(yīng)該對其第三方的安全措施和做法進(jìn)行審查，并確保他們的與自己的一致，更進(jìn)一步，定期檢查和測試這些做法，確定他們是否還合規(guī)。這些檢查應(yīng)覆蓋系統(tǒng)、流程和人員。

Alertsec的首席執(zhí)行官Ebba Blitz建議一定要讓每個人都遵守您的規(guī)則。如果要求您自己的員工對硬盤全面加密，那么一定也要讓第三方這樣做。有太多的第三方從未知設(shè)備登錄到您的網(wǎng)絡(luò)——您無法管理也不能控制的設(shè)備，除非他們在您的網(wǎng)絡(luò)中進(jìn)行了注冊。確保數(shù)據(jù)只傳送給了加密設(shè)備——無論它們是否注冊到您的IT基礎(chǔ)架構(gòu)中。

第三方風(fēng)險管理

市場已經(jīng)推出了第三方風(fēng)險管理程序來解決這個難題。這樣的程序會弄清楚第三方是在國內(nèi)還是國外，使用企業(yè)發(fā)行的設(shè)備還是個人設(shè)備，已經(jīng)進(jìn)行了背景檢查，以及他們是否為企業(yè)執(zhí)行關(guān)鍵功能等。

Sungard Availability Services安全咨詢經(jīng)理Asher DeMetz指出：“當(dāng)涉及到網(wǎng)絡(luò)世界時，供應(yīng)商必須證明他們理解安全，并制定了成熟的安全程序，包括政策和員工培訓(xùn)等。”連接到公司網(wǎng)絡(luò)的任何第三方系統(tǒng)都應(yīng)具備適當(dāng)?shù)臉I(yè)務(wù)功能，有相應(yīng)的管理員，并符合公司自身的安全程序（安全、受監(jiān)視、受控）。

DeMetz補充說：“應(yīng)采用正確的安全控制和安全測試認(rèn)證以及合規(guī)性檢查對軟件和硬件進(jìn)行驗證。如果第三方正在更改配置，則必須通過適當(dāng)?shù)淖兏芾砬纴泶_保他們符合安全程序，并且不會給環(huán)境帶來風(fēng)險?！?/p>

Bluelock工程總監(jiān)Derek Brost說：“由于各種原因，涉及外部人員的風(fēng)險管理是非常具有挑戰(zhàn)性的工作。應(yīng)考慮兩個主要因素。首先，充分參與法律顧問的工作，以確保合同的責(zé)任、義務(wù)和行為準(zhǔn)則。作為擔(dān)保，如果出現(xiàn)問題，還應(yīng)允許強制執(zhí)行或者訴諸法律，以減少損失或者損害。其次，以認(rèn)證管理、及時的活動分析，特別是審計審核的形式，不斷的分配資源，對外部活動進(jìn)行適當(dāng)?shù)墓芾砗捅O(jiān)督?！?

Brost說，遺憾的是，企業(yè)通常借助第三方來降低成本或者“快速修復(fù)”，所以管理外部人員的預(yù)算可能不夠，總成本也不一定支持提供足夠的投資。然而，像所有風(fēng)險管理活動一樣，應(yīng)把這些成本作為整體承擔(dān)和潛在損失的一部分來提前考慮。

Coalfire總裁兼聯(lián)合創(chuàng)始人Kennet Westby說，每家企業(yè)都應(yīng)該有魯棒的第三方供應(yīng)商管理程序，用于支持對關(guān)鍵供應(yīng)商所承諾服務(wù)的檢驗。供應(yīng)商管理流程應(yīng)能夠檢驗?zāi)墓?yīng)商是否具有內(nèi)部安全控制機制。如果您的供應(yīng)商管理程序要求這些第三方以比內(nèi)部控制更嚴(yán)格的標(biāo)準(zhǔn)來運行，那么您實際上能夠比內(nèi)部管控更有效地降低風(fēng)險。

這就給我們帶來了身份訪問管理。正如SecZetta在博客文章中所解釋的那樣，大多數(shù)公司不會有人或者部門去負(fù)責(zé)管理非公司員工身份（人員數(shù)據(jù)）及其關(guān)系。IT可能會提供訪問權(quán)限，但非公司員工變更后的第一次訪問和管理將由人力資源部門或者采購部門負(fù)責(zé)。

這是一個挑戰(zhàn)，特別是非公司員工比內(nèi)部員工更容易獲得敏感信息的情況下。如果允許一名非公司員工有九個月的時限訪問這些敏感系統(tǒng)，但在六個月后提前完成了工作，那么非公司員工還會有三個月的時間可以訪問敏感系統(tǒng)。據(jù)SecZetta，這正是黑客在嘗試滲透系統(tǒng)和竊取數(shù)據(jù)時要尋找的賬戶類型。

Bay Dynamics的聯(lián)合創(chuàng)始人兼首席技術(shù)官Ryan Stolte指出，應(yīng)一直跟蹤那些承擔(dān)重要任務(wù)的人。不一定面面俱到，也不必為每一家供應(yīng)商的每一個用戶都提供安全保障，但安全部門必須非常注意那些訪問公司最有價值的應(yīng)用程序和系統(tǒng)的人員。

他說，有效的供應(yīng)商風(fēng)險管理流程首先要確定您最有價值的東西，如果這些受到損害，知道會對您的企業(yè)產(chǎn)生怎樣的影響。然后，看看哪些供應(yīng)商可以訪問這些最有價值的東西，持續(xù)監(jiān)控供應(yīng)商用戶的活動，以及他們的團隊成員和所屬集團的相關(guān)用戶的活動。如果您的安全工具提示供應(yīng)商用戶有不正常行為，那么重要的是告知應(yīng)用程序管理員現(xiàn)在出現(xiàn)了危險，要求管理員確定該行為是否正常，是不是符合業(yè)務(wù)要求。如果行為不正常，則應(yīng)立即開展對這一威脅警報的調(diào)查。

他說：“要考慮到第三方供應(yīng)商往往并非有意造成威脅，這一點非常重要。通常，供應(yīng)商員工的網(wǎng)絡(luò)安全意識趕不上全職員工，因此無意中會使您的公司面臨風(fēng)險?！?/p>

Viewpost的首席安全官Chris Pierson說，擁有完善的供應(yīng)商核查程序是監(jiān)督、量化、溝通和減輕風(fēng)險的必要條件。這一程序應(yīng)考慮供應(yīng)商的公司使命、目標(biāo)和目的，并提供審查流程，審查所有類型的風(fēng)險——網(wǎng)絡(luò)安全、隱私、法規(guī)/法律、財務(wù)、運營和聲譽等。

然后應(yīng)根據(jù)風(fēng)險管控委員會批準(zhǔn)的損害程度、社會化影響等因素對所有供應(yīng)商風(fēng)險進(jìn)行打分，由負(fù)責(zé)產(chǎn)品/服務(wù)的業(yè)務(wù)線主管掌握打分結(jié)果。Pierson說：“根據(jù)他們提供的產(chǎn)品/服務(wù)的關(guān)鍵性以及風(fēng)險來評估您的供應(yīng)商，公司可以更全面地管理這些風(fēng)險，申請減輕對供應(yīng)商的控制，或者不再使用供應(yīng)商。”

CrowdStrike產(chǎn)品管理副總裁Rod Murchison說，在安全方面，事后諸葛是不行的。他說：“每家企業(yè)都應(yīng)該努力做到實時了解網(wǎng)絡(luò)的安全狀況，并一直保持下去?！?/p>

他補充說，為了減輕這類威脅，最復(fù)雜的端點安全解決方案可以實時感知和分析足夠的數(shù)據(jù)，以確保實時觀察到違規(guī)行為和入侵。這些新解決方案利用了機器學(xué)習(xí)、人工智能和分析技術(shù)的發(fā)展，因此企業(yè)能夠很快觀察到第三方無意或者故意留下的漏洞，并及時補上漏洞。

隨著全球隱私法規(guī)政策的完善，例如，“一般數(shù)據(jù)保護(hù)條例（GDPR）”，要求在數(shù)據(jù)的整個生命周期中控制其使用，這一點顯得非常重要。Focal Point Data Risk的數(shù)據(jù)隱私實踐負(fù)責(zé)人Eric Dieterich說，強大的訪問管理控制功能會有所幫助，但是通常需要進(jìn)行數(shù)據(jù)屏蔽和匿名化處理，以便管理對關(guān)鍵數(shù)據(jù)域的訪問。

有什么解決方案？

Axiomatics業(yè)務(wù)發(fā)展副總裁Gerry Gebel指出，應(yīng)全面采用具有動態(tài)上下文環(huán)境訪問控制功能的分層安全方法對第三方訪問進(jìn)行控制。例如，安全的第一層是動態(tài)地控制誰可以訪問您的網(wǎng)絡(luò)。一旦這些第三方出現(xiàn)在網(wǎng)絡(luò)上，另一層就是控制對API、數(shù)據(jù)和其他資產(chǎn)的訪問。

Caccia建議，第三方訪問資產(chǎn)是行為分析的完美場景，在這種場景中，網(wǎng)絡(luò)上用戶的系統(tǒng)基本行為都是正常的，對這些用戶到底是誰知之甚少。他說：“用戶行為分析（UBA）應(yīng)該是與合作伙伴廣泛進(jìn)行合作的任何公司必備的工具；這是理解和控制那些已經(jīng)被刪除的用戶對您網(wǎng)絡(luò)和數(shù)據(jù)做了什么的最好方法，也許是唯一的方法?！?/p>

Henderson建議公司一定要加強再加強供應(yīng)商管理管控政策。這應(yīng)包括對這些供應(yīng)商進(jìn)行定期和隨機審核的政策。審核應(yīng)能夠返回可量化和可定義的指標(biāo)。

另外，在和這些供應(yīng)商制定并起草合同時，重要的是應(yīng)該含有適當(dāng)?shù)膬?nèi)容，明確規(guī)定供應(yīng)商的安全和隱私義務(wù)。

Henderson說：“把‘?dāng)?shù)據(jù)金絲雀插入到與第三方共享的記錄集中，然后看看這些‘金絲雀是不是會出現(xiàn)在網(wǎng)上，我覺得這個主意不錯。您會驚訝的發(fā)現(xiàn)，數(shù)據(jù)被頻繁的泄漏到網(wǎng)上，出現(xiàn)在像pastebin這樣的地方。關(guān)于這個問題，還有一點讓我感到非常不安的是，一個非常簡單的事實——我們所有的員工、資源、工具和技術(shù)常常被打敗的原因，只不過是因為一些中層管理者把大量的客戶數(shù)據(jù)放在電子表格中，然后通過電子郵件發(fā)送給與業(yè)務(wù)部門合作但以前不了解的第三方，目的是通過電子郵件開展?fàn)I銷活動?！?/p>

他建議，對于企業(yè)而言，一個重要的教訓(xùn)是一定不要讓第三方訪問網(wǎng)絡(luò)的某些地方。他說：“對您的環(huán)境進(jìn)行細(xì)分，采用其他工具讓數(shù)據(jù)流不要混雜在一起，這樣做可以阻止攻擊者，或者至少減慢他們的攻擊，為您的安全部門留出寶貴的時間來檢測事件，并及時應(yīng)對?！?/p>

AlienVault的安全主管Javvad Malik指出，雖然不能避免使用第三方，但是有很多基本的安全措施可以幫助減輕風(fēng)險。這方面的例子包括：

了解您的資產(chǎn)——通過了解您的資產(chǎn)，特別是關(guān)鍵資產(chǎn)，可以更容易地確定第三方能夠訪問哪些系統(tǒng)，而哪些系統(tǒng)不能訪問。

監(jiān)視控制——通過有效的監(jiān)控，確定第三方是否只訪問他們能夠訪問的系統(tǒng)，而且是以允許的方式進(jìn)行訪問。行為監(jiān)控可以在這方面發(fā)揮作用，突出顯示哪些活動超出了正常參數(shù)范圍。

隔離——通過隔離網(wǎng)絡(luò)和資產(chǎn)，在某一特定區(qū)域可以有漏洞。

核查——主動的定期進(jìn)行核查，確保所實施的安全控制正在按預(yù)期工作。

FireEye首席顧問Jeremy Koppen指出，應(yīng)重視有關(guān)第三方訪問的四個安全控制措施：

為每個供應(yīng)商用戶分配唯一的用戶帳戶，以便更好地監(jiān)控每個帳戶的活動，發(fā)現(xiàn)異常活動。

要求雙重身份驗證才能訪問應(yīng)用程序和資源，能夠直接或者間接的訪問內(nèi)部網(wǎng)絡(luò)。當(dāng)供應(yīng)商的用戶身份被攻擊時，這可以保護(hù)企業(yè)不受影響。

限制所有第三方帳戶，只允許他們訪問所需的系統(tǒng)和網(wǎng)絡(luò)。

與第三方關(guān)系終止后，禁用環(huán)境中的所有帳戶。

在企業(yè)應(yīng)用開發(fā)環(huán)境中，Jerbi看到很多公司由于第三方使用虛擬容器等新技術(shù)導(dǎo)致無法進(jìn)行防護(hù)。如果一家公司使用來自第三方的容器式應(yīng)用程序，那么要針對該應(yīng)用程序進(jìn)行專門的容器安全風(fēng)險審查，例如容器鏡像中的漏洞、硬編碼密鑰和配置缺陷等。

Baker說，在選擇供應(yīng)商時，可以參考很多最佳實踐：他們的安全透明程度高嗎？他們是否有第三方安全測試？他們公布測試結(jié)果了嗎？他說：“最終，只是選擇安全供應(yīng)商還無法防止類似Target的事件再次發(fā)生，但與您合作的第三方公司不會成為薄弱環(huán)節(jié)?！?