如今,隨著目標(biāo)的水漲船高,很多企業(yè)擔(dān)心第三方提供商無(wú)法獲得內(nèi)部系統(tǒng)的安全性。大多數(shù)企業(yè)在缺乏內(nèi)部資源時(shí)通常與第三方合作供應(yīng)商進(jìn)行合作。通常有必要允許第三方供應(yīng)商訪問其網(wǎng)絡(luò)。但是幾年前,由于HVAC供應(yīng)商缺乏安全性,美國(guó)最大的零售商之一Target(塔吉特)公司的網(wǎng)絡(luò)遭到破壞,因此企業(yè)的重點(diǎn)仍然是在沒有安全漏洞的情況下,允許第三方軟件訪問網(wǎng)絡(luò)。
使用第三方提供商的服務(wù)是普遍的,因?yàn)檫`規(guī)行為與之相關(guān)。識(shí)別風(fēng)險(xiǎn)和生活方式解決方案提供商SecZetta公司聲稱,平均而言,40%的員工采用第三方服務(wù)。Soha系統(tǒng)公司最近進(jìn)行的一項(xiàng)調(diào)查顯示,63%的數(shù)據(jù)泄露可歸因于第三方。SecZetta公司在博客文章表示:“如今,公司員工對(duì)于第三方的服務(wù)越來(lái)越依賴,加上黑客日益復(fù)雜化,導(dǎo)致了目前身份和訪問管理的危機(jī),大多數(shù)企業(yè)今天面臨的就是這種現(xiàn)狀,無(wú)論其是否意識(shí)到這一點(diǎn)。”
大數(shù)據(jù)安全分析商Exabeam公司的首席營(yíng)銷官Rick Caccia解釋說(shuō),Target公司的違規(guī)行為揭示了信任合作伙伴帶來(lái)的風(fēng)險(xiǎn)。一方面,第三方公司通??梢栽L問Target公司環(huán)境中最敏感的數(shù)據(jù)和系統(tǒng)。另一方面,該公司對(duì)合作伙伴自身的安全流程幾乎沒有洞察,并不真正了解合作伙伴的員工或其慣例。
Bugcrowd公司業(yè)務(wù)副總裁DavidBaker表示:“大多數(shù)公民社會(huì)組織生活的經(jīng)驗(yàn)法則是,如果他們做的更好,那么你只能使用第三方服務(wù),所以無(wú)論是外包還是管理數(shù)據(jù)中心,如果外包的第三方做得更好,使用它們就有道理,因此這個(gè)想法擴(kuò)展到安全性。”
例如,許多組織將其數(shù)據(jù)中心外包給亞馬遜網(wǎng)絡(luò)服務(wù)(AWS),這不僅是因?yàn)樵贏WS公司在技術(shù)和功能比那些組織自己實(shí)現(xiàn)的更好,而且還因?yàn)锳WS公司提供的安全措施比這公司要更多。
“如果你使用第三方的服務(wù),并希望避免發(fā)生類似Target公司的情況,那么就需要有一個(gè)選擇這些第三方的過(guò)程,并且該標(biāo)準(zhǔn)的很大一部分應(yīng)該是安全性。”Baker說(shuō):“在安全方面衡量,就是他們必須做得比你還要好。”
Agari公司首席科學(xué)家Markus Jakobsson表示,與第三方供應(yīng)商合作的主要缺點(diǎn)是失去對(duì)安全性的控制。“每個(gè)供應(yīng)商不僅在網(wǎng)絡(luò)犯罪分子的網(wǎng)絡(luò)中創(chuàng)造了一個(gè)新的入口點(diǎn),而且還意味著該供應(yīng)商的每個(gè)員工現(xiàn)在都是違規(guī)的潛在目標(biāo),不幸的是,確保企業(yè)業(yè)務(wù)的唯一方法是通過(guò)內(nèi)部保留一切,才可能不會(huì)面臨更大的風(fēng)險(xiǎn)。但在當(dāng)今的數(shù)字世界中,這并不現(xiàn)實(shí)。”
ObserveIT公司首席執(zhí)行官M(fèi)ikeMcKee表示,缺乏對(duì)第三方提供商用戶的的了解,無(wú)論是有意或無(wú)意的,這都是一個(gè)巨大的安全風(fēng)險(xiǎn)。
“每個(gè)組織都必須確保其已經(jīng)確定了外部各方可以訪問系統(tǒng)和數(shù)據(jù),并制定了安全的程序,這些用戶遵循的嚴(yán)格政策,以及有效的技術(shù)來(lái)監(jiān)測(cè)和檢測(cè)第三方是否將組織置于風(fēng)險(xiǎn)。”他說(shuō)。
Verint系統(tǒng)公司網(wǎng)絡(luò)產(chǎn)品管理和業(yè)務(wù)發(fā)展副總裁Yitzhak Vager表示,正在開展業(yè)務(wù)的成本使企業(yè)的網(wǎng)絡(luò)容易受到第三方的傷害。制造商直接連接到供應(yīng)商來(lái)管理即時(shí)生產(chǎn)。會(huì)計(jì)部門連接到外部發(fā)票和收據(jù)系統(tǒng),營(yíng)銷團(tuán)隊(duì)已經(jīng)提供所有類型的自動(dòng)化解決方案訪問網(wǎng)絡(luò)基礎(chǔ)設(shè)施。
他說(shuō),“組織需要假設(shè)他們已經(jīng)被第三方破壞,在網(wǎng)絡(luò)中留下了一個(gè)漏洞,因此他們需要轉(zhuǎn)移到考慮到大局的檢測(cè)和響應(yīng)區(qū)域解決方案,通過(guò)檢測(cè)整個(gè)網(wǎng)絡(luò)提供完整的可見性,端點(diǎn)和有效載荷。”
Absolute公司全球安全策略師理查德·亨德森認(rèn)為。“在大多數(shù)情況下,企業(yè)將無(wú)法了解這些合作伙伴是否有違規(guī)行為或是遭受攻擊的犧牲品。此外,監(jiān)管機(jī)構(gòu)(和客戶)真的不在乎別人的責(zé)任,這似乎是一個(gè)無(wú)法取勝的戰(zhàn)斗。并在遭到破壞后,組織離開收拾殘局,并追究責(zé)任。”
Radware安全解決方案副總裁Carl Herberger表示,業(yè)務(wù)部門面臨著巨大的壓力,需要利用新的解決方案來(lái)加快上市時(shí)間,并降低成本。通常,安全性是次要考慮。
Herberger說(shuō):“大多數(shù)這些業(yè)務(wù)團(tuán)隊(duì)沒有足夠的技能或知識(shí)來(lái)評(píng)估安全性要求,并可能導(dǎo)致與供應(yīng)商合作,而這些供應(yīng)商可能會(huì)讓企業(yè)的網(wǎng)絡(luò)受到攻擊。”
安全提供商Aqua公司的首席技術(shù)官Amir Jerbi表示:如果一個(gè)企業(yè)與第三方合作,不管原因如何,這個(gè)第三方將成為其安全邊界的重要組成部分。“因此,組織應(yīng)該對(duì)其第三方的安全措施和做法進(jìn)行審查,并確保它們的做法與自己的一致,并定期檢查和測(cè)試這些做法,以驗(yàn)證其是否仍然遵守。這些檢查可能(并且應(yīng)該)涵蓋公司的系統(tǒng),過(guò)程和人員。”
Alertsec公司首席執(zhí)行官Ebba Blitz建議企業(yè)確保每個(gè)員工都遵守其規(guī)則。如果為自己的員工授權(quán)完全磁盤加密,請(qǐng)確保其第三方也執(zhí)行相同操作。“很多第三方從未知設(shè)備登錄到你的網(wǎng)絡(luò),以及你沒有管理和無(wú)法控制的設(shè)備,除非他們?cè)谀木W(wǎng)絡(luò)中注冊(cè),無(wú)論它們是否注冊(cè)到IT基礎(chǔ)架構(gòu)中,都要確保數(shù)據(jù)只流向加密設(shè)備。”
第三方風(fēng)險(xiǎn)管理
目前在市場(chǎng)已經(jīng)推出了第三方風(fēng)險(xiǎn)管理計(jì)劃來(lái)應(yīng)對(duì)這個(gè)困境。這樣的程序會(huì)告訴第三方是否位于離岸或陸上,是使用企業(yè)發(fā)行的設(shè)備還是個(gè)人設(shè)備,是否已進(jìn)行后臺(tái)檢查,以及是否對(duì)組織執(zhí)行關(guān)鍵功能等。
Sungard公司可用性服務(wù)安全咨詢經(jīng)理Asher DeMetz指出:“談到網(wǎng)絡(luò)世界,供應(yīng)商必須證明他們了解安全性,并制定一個(gè)成熟的安全計(jì)劃,包括政策和員工培訓(xùn)。而連接到該公司網(wǎng)絡(luò)的任何第三方系統(tǒng)都需要具有適當(dāng)?shù)臉I(yè)務(wù)功能和所有者,并符合該公司自身的安全計(jì)劃(安全,監(jiān)控,控制)。
軟件或硬件需要通過(guò)正確的安全控制和安全測(cè)試的認(rèn)證以及可能的合規(guī)性進(jìn)行驗(yàn)證。如果第三方正在進(jìn)行配置更改,則必須通過(guò)適當(dāng)?shù)淖兏芾砬纴?lái)確保其符合安全計(jì)劃,并且不會(huì)對(duì)環(huán)境造成風(fēng)險(xiǎn)。“DeMetz補(bǔ)充說(shuō)。
Bluelock工程總監(jiān)Derek Brost說(shuō),由于各種原因,涉及外部行為者的風(fēng)險(xiǎn)管理可能是一個(gè)非常具有挑戰(zhàn)性的活動(dòng)。“主要考慮兩個(gè)因素。首先,充分涉及法律顧問,以確保企業(yè)具有責(zé)任,勤勉和適當(dāng)?shù)年P(guān)心。作為支持者,如果出現(xiàn)問題,還應(yīng)允許執(zhí)行或訴訟與回收損失或損害有關(guān)。二是以認(rèn)證管理,及時(shí)的活動(dòng)分析,特別是審計(jì)審核的形式,不斷分配的資源,對(duì)外部活動(dòng)進(jìn)行適當(dāng)?shù)墓芾砗捅O(jiān)督。”
Brost表示,不幸的是,企業(yè)通常涉及第三方降低成本或“快速修復(fù)”,所以在管理外部行為者的預(yù)算或總體成本中可能不會(huì)考慮足夠的投資水平。然而,像所有風(fēng)險(xiǎn)管理活動(dòng)一樣,這些成本需要作為整體容忍度和損失潛力的一部分來(lái)考慮。
Coalfire公司總裁兼聯(lián)合創(chuàng)始人Kennet Westby表示,每個(gè)組織都應(yīng)該有一個(gè)強(qiáng)大的第三方供應(yīng)商管理程序,用于支持關(guān)鍵供應(yīng)商提供承諾服務(wù)的驗(yàn)證。供應(yīng)商管理流程的一部分應(yīng)該是驗(yàn)證企業(yè)的供應(yīng)商是否具有內(nèi)部安全控制。如果其供應(yīng)商管理程序要求這些第三方以比內(nèi)部控制更高的標(biāo)準(zhǔn)運(yùn)行,那么實(shí)際上可以比內(nèi)部管理更有效地降低風(fēng)險(xiǎn)。
這使人們進(jìn)入身份訪問管理。正如SecZetta公司在博客文章中所解釋的那樣,大多數(shù)公司沒有任何人員或部門負(fù)責(zé)管理非員工身份(人員數(shù)據(jù))及其關(guān)系。IT部門可能會(huì)提供訪問權(quán)限,但非員工變更的初始訪問和管理將由人力資源部門或采購(gòu)部門負(fù)責(zé)。
這是一個(gè)挑戰(zhàn),特別是在非內(nèi)部員工比內(nèi)部員工更容易獲得敏感信息的情況下。如果一名非雇員被允許訪問這些敏感系統(tǒng)提供九個(gè)月的期限,但在六個(gè)月后提前完成工作,則有三個(gè)月的時(shí)間,非內(nèi)部員工仍然可以使用敏感系統(tǒng)。根據(jù)Sec Zetta公司的說(shuō)法,這些正是黑客在嘗試滲透系統(tǒng)和竊取數(shù)據(jù)時(shí)所尋求的類型。
Bay Dynamics公司聯(lián)合創(chuàng)始人兼首席技術(shù)官Ryan Stolte表示,跟蹤誰(shuí)在做什么是艱巨的任務(wù)。“安全團(tuán)隊(duì)不必試圖讓人人皆危,而是為每一個(gè)供應(yīng)商的每一個(gè)用戶提供安全保障,安全團(tuán)隊(duì)必須對(duì)那些訪問企業(yè)最有價(jià)值的應(yīng)用程序和系統(tǒng)的人員進(jìn)行磨練。”
他說(shuō),有效的供應(yīng)商風(fēng)險(xiǎn)管理從識(shí)別企業(yè)的核心業(yè)務(wù)以及對(duì)企業(yè)的影響開始。然后,看看哪些廠商可以訪問這些核心業(yè)務(wù),不僅可以監(jiān)控供應(yīng)商用戶的活動(dòng),還可以監(jiān)控他們的團(tuán)隊(duì)成員和更大群體中的其他用戶。如果企業(yè)的安全工具標(biāo)示來(lái)自供應(yīng)商用戶的不尋常行為,則重要的是讓管理應(yīng)用程序的應(yīng)用程序所有者處于風(fēng)險(xiǎn)之中,要求所有者確定該行為是不尋常的還是合理的業(yè)務(wù)。如果行為不尋常,則該威脅警報(bào)應(yīng)該轉(zhuǎn)到調(diào)查堆棧的頂部。
他說(shuō):“重要的是要考慮到第三方供應(yīng)商往往是非惡意的威脅。通常,供應(yīng)商的員工對(duì)網(wǎng)絡(luò)安全衛(wèi)生的員工的意識(shí)不足,因此無(wú)意中會(huì)使企業(yè)面臨風(fēng)險(xiǎn)。”
Viewpost的首席安全官Chris Pierson表示,擁有完善的供應(yīng)商保證計(jì)劃是監(jiān)督,量化,溝通和減輕風(fēng)險(xiǎn)的必要條件。該計(jì)劃應(yīng)考慮供應(yīng)商的公司使命和目標(biāo),并提供審查流程,審查所有類型的風(fēng)險(xiǎn),其中包括網(wǎng)絡(luò)安全,隱私,法規(guī)/法律,財(cái)務(wù),運(yùn)營(yíng)和聲譽(yù)。
所有供應(yīng)商的風(fēng)險(xiǎn)都應(yīng)該由負(fù)責(zé)產(chǎn)品/服務(wù)的業(yè)務(wù)線主管所擁有。Pierson說(shuō),“根據(jù)他們提供的產(chǎn)品/服務(wù)的關(guān)鍵性以及風(fēng)險(xiǎn)評(píng)估企業(yè)的供應(yīng)商,企業(yè)可以更充分地管理這些風(fēng)險(xiǎn),請(qǐng)求減輕控制或者脫離供應(yīng)商。”
Crowd Strike公司產(chǎn)品管理副總裁Rod Murchison表示,在安全方面,事件發(fā)生后具有知識(shí)淵博是不夠的。他說(shuō):“每個(gè)組織都需要實(shí)時(shí)了解網(wǎng)絡(luò)的安全狀況,應(yīng)該努力實(shí)現(xiàn)和保持前進(jìn)。”
為了減輕這些類型的威脅,最復(fù)雜的端點(diǎn)安全解決方案可以實(shí)時(shí)感知和分析足夠的數(shù)據(jù),以確保實(shí)時(shí)觀察到違規(guī)和入侵。“這些新的解決方案利用了機(jī)器學(xué)習(xí),人工智能和分析方面的技術(shù)進(jìn)步,所以組織可以快速觀察和填補(bǔ)第三方組織遺漏的(無(wú)意或故意的)漏洞。”
隨著全球隱私法規(guī)的日益增長(zhǎng),如“一般數(shù)據(jù)保護(hù)條例”(GDPR),在整個(gè)生命周期中控制數(shù)據(jù)使用的能力將至關(guān)重要。FocalPoint公司數(shù)據(jù)風(fēng)險(xiǎn)的數(shù)據(jù)隱私實(shí)踐負(fù)責(zé)人Eric Dieterich說(shuō),強(qiáng)大的訪問管理控制可以提供幫助,但是通常需要實(shí)施數(shù)據(jù)掩蔽和匿名化來(lái)管理關(guān)鍵數(shù)據(jù)領(lǐng)域的訪問。
有什么解決方案?
Axiomatics公司業(yè)務(wù)發(fā)展副總裁Gerry Geble表示,第三方訪問需要采用分層安全方法,采用動(dòng)態(tài)背景訪問控制。例如,一層安全性是動(dòng)態(tài)地控制誰(shuí)可以訪問企業(yè)的網(wǎng)絡(luò)。一旦這些第三方在網(wǎng)絡(luò)上,另一層就是控制對(duì)API,數(shù)據(jù)和其他資產(chǎn)的訪問。
Caccia建議,第三方訪問資產(chǎn)是行為分析的完美場(chǎng)景,系統(tǒng)基于網(wǎng)絡(luò)上用戶的正常行為,即使對(duì)用戶實(shí)際知之甚少。“用戶行為分析(UBA)應(yīng)該是與合作伙伴廣泛合作的任何公司的表格賭注;他說(shuō),這是理解和控制曾經(jīng)被移除的用戶在企業(yè)絡(luò)和數(shù)據(jù)中所做的最好的方法。
Henderson建議企業(yè)加強(qiáng)供應(yīng)商管理的治理政策得到加強(qiáng)。這應(yīng)包括關(guān)于這些供應(yīng)商的定期和隨機(jī)審核的政策。這些審計(jì)應(yīng)該具有返回量化和可定義度量的能力。
另外在制定和起草這些供應(yīng)商的合同時(shí),重要的是適當(dāng)?shù)牟糠置鞔_規(guī)定了包括供應(yīng)商期望的安全性和隱私義務(wù)。
“我喜歡將一些數(shù)據(jù)插入到與第三方共享的記錄集中,然后觀看那些數(shù)據(jù)轉(zhuǎn)儲(chǔ)上網(wǎng)。你會(huì)驚訝于數(shù)據(jù)泄漏到網(wǎng)絡(luò)上并出現(xiàn)在像pastebin這樣的地方。”Henderson說(shuō)。“其他讓我對(duì)這個(gè)問題感到緊張的事情,這完全是一個(gè)事實(shí),即所有的員工,資源,工具和技術(shù)常常被打敗,只不過(guò)是一些中層管理者把大量的客戶數(shù)據(jù)記載在電子表格中,然后發(fā)送通過(guò)電子郵件發(fā)送給業(yè)務(wù)部門承包的一些以前未知的第三方,以運(yùn)行批量電子郵件活動(dòng)。”
他建議,對(duì)于其他企業(yè)而言,重要的一個(gè)教訓(xùn)是確保第三方無(wú)法達(dá)到網(wǎng)絡(luò)的這些部分。企業(yè)環(huán)境的微分割,以及許多其他旨在保持流量共同作用的工具,可以停止或至少減緩攻擊者的速度,為企業(yè)的安全團(tuán)隊(duì)提供寶貴的時(shí)間來(lái)檢測(cè)和應(yīng)對(duì)事件。”他說(shuō)。
雖然不可能避免第三方,Alien Vault公司的安全倡導(dǎo)者Javvad Malik表示,有許多基本的安全措施可以幫助減輕風(fēng)險(xiǎn)。這方面的例子包括:
·了解自己的資產(chǎn)-通過(guò)了解企業(yè)的資產(chǎn),特別是關(guān)鍵資產(chǎn),可以更容易地確定哪些系統(tǒng)第三方應(yīng)該訪問哪些系統(tǒng)并限制訪問這些資產(chǎn)。
·監(jiān)控控制-有效監(jiān)控,以確定第三方是否只能訪問他們應(yīng)該和以某種方式應(yīng)用的系統(tǒng)。行為監(jiān)測(cè)可以通過(guò)顯示這方面在正常參數(shù)之外的突出活動(dòng)的位置。
·隔離-通過(guò)隔離網(wǎng)絡(luò)和資產(chǎn),可以包含任何違規(guī)行為。
·保證-積極尋求定期確保安全控制實(shí)施工作的預(yù)期。
FireEye公司主要顧問Jeremy Koppen表示,應(yīng)該討論有關(guān)第三方訪問的四個(gè)安全控制措施:
·為每個(gè)供應(yīng)商用戶分配唯一的用戶帳戶,以更好地監(jiān)控每個(gè)帳戶,并識(shí)別異?;顒?dòng)。
·需要雙因素認(rèn)證來(lái)訪問可以直接或間接訪問內(nèi)部網(wǎng)絡(luò)的應(yīng)用程序和資源。這可以保護(hù)組織,防止供應(yīng)商的用戶憑據(jù)受到損害。
·限制所有第三方帳戶,只允許訪問所需的系統(tǒng)和網(wǎng)絡(luò)。
·終止第三方關(guān)系后,禁用環(huán)境中的所有帳戶。
在企業(yè)應(yīng)用程序開發(fā)世界中,Jerbi認(rèn)為許多公司被第三方使用虛擬容器等新興技術(shù)所掩蓋。如果一家公司正在使用來(lái)自第三方的容器化應(yīng)用程序,則該應(yīng)用程序應(yīng)該針對(duì)特定于容器的安全風(fēng)險(xiǎn)進(jìn)行審查,例如容器映像中的漏洞,硬編碼的秘密和配置缺陷。
Baker說(shuō),選擇供應(yīng)商時(shí)有很多最佳做法:他們的安全性是多么透明?他們是否有第三方安全測(cè)試?他們分享了測(cè)試的結(jié)果嗎?他說(shuō):“最終,選擇安全的供應(yīng)商并不一定會(huì)阻止公司成為另一個(gè)目標(biāo),但它會(huì)阻止你所合作的第三方公司成為薄弱環(huán)節(jié)。”