第三方讓您的網絡暴露在攻擊之下

Ryan+Francis

很多企業在缺乏內部資源時都會聘請第三方提供商來填補空白。通常會允許第三方供應商訪問其網絡。但是幾年前由于HVAC供應商安全性不足導致Target的網絡被攻破之后，人們關注的重點就一直是怎樣讓第三方訪問網絡而又不會帶來安全漏洞。

使用第三方提供商是非常常見的，隨之而來的泄露事件也是如此。身份識別風險和生活方式解決方案提供商SecZetta聲稱，平均而言，40%的員工來自第三方。Soha Systems最近進行的一項調查顯示，63%的數據泄露可歸因于第三方。SecZetta的一篇博客文章說：“越來越多的依賴第三方員工，加上黑客也越來越老練，導致很多企業目前都面臨身份和訪問管理危機——無論他們是否意識到這一點。”

Exabeam的首席營銷官Rick Caccia解釋說，Target的泄露事件說明即使是值得信賴的合作伙伴也會帶來風險。一方面，他們通常可以訪問企業環境中最敏感的數據和系統。另一方面，企業對合作伙伴自身的安全流程幾乎不做調查，并不真正了解合作伙伴的員工及其日常工作例程。

Bugcrowd業務副總裁David Baker說：“很多首席安全官的經驗是，只使用那些做得比你好第三方。那么無論是提供封裝還是管理您的數據中心，如果外包第三方做得更好，那么是可以使用他們的。這就延伸到安全問題。”

他說，例如，許多企業將其數據中心外包給亞馬遜網絡服務（AWS），這不僅是因為在AWS上開發技術要比企業自己實現的更好，而且還因為其安全性要優于企業自己進行建設。

Baker說：“如果您使用第三方并希望避免出現類似Target的情況，那么就需要有一個流程來選擇這些第三方，并且流程標準的很大一部分應該是關于安全的。在安全方面，您一定要判斷出他們是否做得比您更好。”

Agari首席科學家Markus Jakobsson指出，與第三方供應商合作最大的缺點是失去對安全的控制。每家供應商不僅在企業網絡上為網絡犯罪分子入侵提供了新的入口點，而且還意味著該供應商的每名員工現在都有可能成為讓您的品牌受到損害的潛在目標。然而，確保企業不會面臨更大風險的唯一方法就是把一切都保持在內部。但在今天的數字世界中，這不切實際。

ObserveIT 首席執行官Mike McKee說，缺乏對第三方提供商用戶的深入了解——無論是無意的還是有意的，都會帶來巨大的安全隱患。

他說：“任何企業都必須明確哪些外部合作方能夠訪問系統和數據，并制定了安全程序以及這些用戶要嚴格遵循的政策，還要有有效的技術措施來監視和探測第三方是否會給企業帶來風險。”

Verint Systems網絡產品管理和業務發展副總裁Yitzhak（Itzik）Vager說，如果由于開展業務而導致您的網絡容易受到第三方的攻擊，那么一定會讓您付出代價。例如，制造商直接與供應商聯系來管理即時生產。會計部門與外部發票和收據系統相連接，營銷部門已經授權給所有類型的自動化解決方案可以訪問網絡基礎設施。

“企業可以假設他們已經被第三方攻破，在網絡中留下了漏洞，因此他們需要采用檢測和應對區域解決方案，從全局考慮，通過探測整個網絡、端點設備和有效載荷來實現全面的可見性。”

Absolute的全球安全策略師Richard Henderson對此表示同意。“在大多數情況下，公司沒有辦法了解這些合作伙伴是否有漏洞，是否有可能成為攻擊的犧牲品。除此之外，監管機構（和客戶）真的并不關心是不是要有人負責，這似乎是一場無休止的戰斗。被破壞之后，企業去收拾殘局，干苦差事，并承擔責任。”

Radware安全解決方案副總裁Carl Herberger說，業務部門面臨著巨大的壓力，他們要采用新解決方案讓產品及時面市，并降低成本。通常，安全是次要考慮。

Herberger說：“很多這些業務部門不具備評估安全要求的技能或者知識，他們會與供應商合作，而這些供應商可能會讓公司網絡暴露在攻擊之下。”

集裝箱保安公司Aqua Security的首席技術官Amir Jerbi指出，不管什么原因，如果一個企業讓第三方進入到自己的網絡中，該第三方將成為其安全周界的重要組成部分。因此，企業應該對其第三方的安全措施和做法進行審查，并確保他們的與自己的一致，更進一步，定期檢查和測試這些做法，確定他們是否還合規。這些檢查應覆蓋系統、流程和人員。

Alertsec的首席執行官Ebba Blitz建議一定要讓每個人都遵守您的規則。如果要求您自己的員工對硬盤全面加密，那么一定也要讓第三方這樣做。有太多的第三方從未知設備登錄到您的網絡——您無法管理也不能控制的設備，除非他們在您的網絡中進行了注冊。確保數據只傳送給了加密設備——無論它們是否注冊到您的IT基礎架構中。

第三方風險管理

市場已經推出了第三方風險管理程序來解決這個難題。這樣的程序會弄清楚第三方是在國內還是國外，使用企業發行的設備還是個人設備，已經進行了背景檢查，以及他們是否為企業執行關鍵功能等。

Sungard Availability Services安全咨詢經理Asher DeMetz指出：“當涉及到網絡世界時，供應商必須證明他們理解安全，并制定了成熟的安全程序，包括政策和員工培訓等。”連接到公司網絡的任何第三方系統都應具備適當的業務功能，有相應的管理員，并符合公司自身的安全程序（安全、受監視、受控）。

DeMetz補充說：“應采用正確的安全控制和安全測試認證以及合規性檢查對軟件和硬件進行驗證。如果第三方正在更改配置，則必須通過適當的變更管理渠道來確保他們符合安全程序，并且不會給環境帶來風險。”

Bluelock工程總監Derek Brost說：“由于各種原因，涉及外部人員的風險管理是非常具有挑戰性的工作。應考慮兩個主要因素。首先，充分參與法律顧問的工作，以確保合同的責任、義務和行為準則。作為擔保，如果出現問題，還應允許強制執行或者訴諸法律，以減少損失或者損害。其次，以認證管理、及時的活動分析，特別是審計審核的形式，不斷的分配資源，對外部活動進行適當的管理和監督。”

Brost說，遺憾的是，企業通常借助第三方來降低成本或者“快速修復”，所以管理外部人員的預算可能不夠，總成本也不一定支持提供足夠的投資。然而，像所有風險管理活動一樣，應把這些成本作為整體承擔和潛在損失的一部分來提前考慮。

Coalfire總裁兼聯合創始人Kennet Westby說，每家企業都應該有魯棒的第三方供應商管理程序，用于支持對關鍵供應商所承諾服務的檢驗。供應商管理流程應能夠檢驗您的供應商是否具有內部安全控制機制。如果您的供應商管理程序要求這些第三方以比內部控制更嚴格的標準來運行，那么您實際上能夠比內部管控更有效地降低風險。

這就給我們帶來了身份訪問管理。正如SecZetta在博客文章中所解釋的那樣，大多數公司不會有人或者部門去負責管理非公司員工身份（人員數據）及其關系。IT可能會提供訪問權限，但非公司員工變更后的第一次訪問和管理將由人力資源部門或者采購部門負責。

這是一個挑戰，特別是非公司員工比內部員工更容易獲得敏感信息的情況下。如果允許一名非公司員工有九個月的時限訪問這些敏感系統，但在六個月后提前完成了工作，那么非公司員工還會有三個月的時間可以訪問敏感系統。據SecZetta，這正是黑客在嘗試滲透系統和竊取數據時要尋找的賬戶類型。

Bay Dynamics的聯合創始人兼首席技術官Ryan Stolte指出，應一直跟蹤那些承擔重要任務的人。不一定面面俱到，也不必為每一家供應商的每一個用戶都提供安全保障，但安全部門必須非常注意那些訪問公司最有價值的應用程序和系統的人員。

他說，有效的供應商風險管理流程首先要確定您最有價值的東西，如果這些受到損害，知道會對您的企業產生怎樣的影響。然后，看看哪些供應商可以訪問這些最有價值的東西，持續監控供應商用戶的活動，以及他們的團隊成員和所屬集團的相關用戶的活動。如果您的安全工具提示供應商用戶有不正常行為，那么重要的是告知應用程序管理員現在出現了危險，要求管理員確定該行為是否正常，是不是符合業務要求。如果行為不正常，則應立即開展對這一威脅警報的調查。

他說：“要考慮到第三方供應商往往并非有意造成威脅，這一點非常重要。通常，供應商員工的網絡安全意識趕不上全職員工，因此無意中會使您的公司面臨風險。”

Viewpost的首席安全官Chris Pierson說，擁有完善的供應商核查程序是監督、量化、溝通和減輕風險的必要條件。這一程序應考慮供應商的公司使命、目標和目的，并提供審查流程，審查所有類型的風險——網絡安全、隱私、法規/法律、財務、運營和聲譽等。

然后應根據風險管控委員會批準的損害程度、社會化影響等因素對所有供應商風險進行打分，由負責產品/服務的業務線主管掌握打分結果。Pierson說：“根據他們提供的產品/服務的關鍵性以及風險來評估您的供應商，公司可以更全面地管理這些風險，申請減輕對供應商的控制，或者不再使用供應商。”

CrowdStrike產品管理副總裁Rod Murchison說，在安全方面，事后諸葛是不行的。他說：“每家企業都應該努力做到實時了解網絡的安全狀況，并一直保持下去。”

他補充說，為了減輕這類威脅，最復雜的端點安全解決方案可以實時感知和分析足夠的數據，以確保實時觀察到違規行為和入侵。這些新解決方案利用了機器學習、人工智能和分析技術的發展，因此企業能夠很快觀察到第三方無意或者故意留下的漏洞，并及時補上漏洞。

隨著全球隱私法規政策的完善，例如，“一般數據保護條例（GDPR）”，要求在數據的整個生命周期中控制其使用，這一點顯得非常重要。Focal Point Data Risk的數據隱私實踐負責人Eric Dieterich說，強大的訪問管理控制功能會有所幫助，但是通常需要進行數據屏蔽和匿名化處理，以便管理對關鍵數據域的訪問。

有什么解決方案？

Axiomatics業務發展副總裁Gerry Gebel指出，應全面采用具有動態上下文環境訪問控制功能的分層安全方法對第三方訪問進行控制。例如，安全的第一層是動態地控制誰可以訪問您的網絡。一旦這些第三方出現在網絡上，另一層就是控制對API、數據和其他資產的訪問。

Caccia建議，第三方訪問資產是行為分析的完美場景，在這種場景中，網絡上用戶的系統基本行為都是正常的，對這些用戶到底是誰知之甚少。他說：“用戶行為分析（UBA）應該是與合作伙伴廣泛進行合作的任何公司必備的工具；這是理解和控制那些已經被刪除的用戶對您網絡和數據做了什么的最好方法，也許是唯一的方法。”

Henderson建議公司一定要加強再加強供應商管理管控政策。這應包括對這些供應商進行定期和隨機審核的政策。審核應能夠返回可量化和可定義的指標。

另外，在和這些供應商制定并起草合同時，重要的是應該含有適當的內容，明確規定供應商的安全和隱私義務。

Henderson說：“把‘數據金絲雀插入到與第三方共享的記錄集中，然后看看這些‘金絲雀是不是會出現在網上，我覺得這個主意不錯。您會驚訝的發現，數據被頻繁的泄漏到網上，出現在像pastebin這樣的地方。關于這個問題，還有一點讓我感到非常不安的是，一個非常簡單的事實——我們所有的員工、資源、工具和技術常常被打敗的原因，只不過是因為一些中層管理者把大量的客戶數據放在電子表格中，然后通過電子郵件發送給與業務部門合作但以前不了解的第三方，目的是通過電子郵件開展營銷活動。”

他建議，對于企業而言，一個重要的教訓是一定不要讓第三方訪問網絡的某些地方。他說：“對您的環境進行細分，采用其他工具讓數據流不要混雜在一起，這樣做可以阻止攻擊者，或者至少減慢他們的攻擊，為您的安全部門留出寶貴的時間來檢測事件，并及時應對。”

AlienVault的安全主管Javvad Malik指出，雖然不能避免使用第三方，但是有很多基本的安全措施可以幫助減輕風險。這方面的例子包括：

了解您的資產——通過了解您的資產，特別是關鍵資產，可以更容易地確定第三方能夠訪問哪些系統，而哪些系統不能訪問。

監視控制——通過有效的監控，確定第三方是否只訪問他們能夠訪問的系統，而且是以允許的方式進行訪問。行為監控可以在這方面發揮作用，突出顯示哪些活動超出了正常參數范圍。

隔離——通過隔離網絡和資產，在某一特定區域可以有漏洞。

核查——主動的定期進行核查，確保所實施的安全控制正在按預期工作。

FireEye首席顧問Jeremy Koppen指出，應重視有關第三方訪問的四個安全控制措施：

為每個供應商用戶分配唯一的用戶帳戶，以便更好地監控每個帳戶的活動，發現異常活動。

要求雙重身份驗證才能訪問應用程序和資源，能夠直接或者間接的訪問內部網絡。當供應商的用戶身份被攻擊時，這可以保護企業不受影響。

限制所有第三方帳戶，只允許他們訪問所需的系統和網絡。

與第三方關系終止后，禁用環境中的所有帳戶。

在企業應用開發環境中，Jerbi看到很多公司由于第三方使用虛擬容器等新技術導致無法進行防護。如果一家公司使用來自第三方的容器式應用程序，那么要針對該應用程序進行專門的容器安全風險審查，例如容器鏡像中的漏洞、硬編碼密鑰和配置缺陷等。

Baker說，在選擇供應商時，可以參考很多最佳實踐：他們的安全透明程度高嗎？他們是否有第三方安全測試？他們公布測試結果了嗎？他說：“最終，只是選擇安全供應商還無法防止類似Target的事件再次發生，但與您合作的第三方公司不會成為薄弱環節。”