论文部分内容阅读
供应链攻击也被称为价值链或第三方攻击,攻击者利用有权访问企业系统和数据的外部合作伙伴或提供商入侵企业的系统。随着越来越多的供应商和服务提供商开始接触到敏感数据,企业的攻击面在过去几年里发生了重大变化。
由于攻击类型是新的,加之公众对威胁的意识不断增强和监管部门加大了监管力度,与供应链攻击相关的风险意识并没有提升。与此同时,为了制造一个“完美风暴”,攻击者比以前有了更多的可用资源和工具。
供应链攻击的示例与范围
由供应商导致的重大网络泄密事件从来都没有停止过。2014年美国零售巨头塔吉特(Target)的大规模数据泄露事件是由HVAC(供热通风与空气调节)厂商在安全方面的疏忽所导致的。美国知名征信机构Equifax去年将其出现的严重数据泄漏事件归咎于所使用的外部软件带来漏洞,他们还将网站上出现恶意下载链接的情况归咎于另一家厂商。
此外,还有“天堂文件”事件曝光了大约1300万份详细介绍了知名公司、政治人物、社会名流如何进行离岸避税的文件。源头是什么?和前年的“巴拿马文件”事件一样,法律事务所成为了最薄弱的一环。
这些并不是孤立的事件。据安全研究机构Ponemon Institute去年秋季的调查显示,56%的机构曾经出现过因供应商导致的数据泄露。在每家机构中,有权访问其敏感数据的第三方厂商的平均数量由378家增长到了471家。这个数字可能有点低。仅35%的公司有共享他们敏感数据的所有第三方厂商的名单。
仅18%的公司表示他们知道这些厂商是否在与其他供应商共享自己的信息。这是一个问题,因为用户并不关心是公司的供应商还是公司本身泄露了数据。
更糟糕的是,在供应关系终止后风险并不会随之消失。Domino’s Australia在去年秋季出现了一个安全漏洞,一家前供应商的系统泄露了客户姓名和电子邮件地址。Prevalent公司第三方策略资深主管Brad Keller 称:“我所看到的大部分合同对于如何管理供应关系终止程序都缺乏详细的规定。”
与此同时,监管部门也正在加大对第三方风险的关注力度。去年,纽约州金融监管部门开始要求在当地开展业务的金融公司要确保其供应商在网络安全防护上也要达标。
欧洲也将采取相同的举措。根据《通用数据保护条例》(GDPR),所有从欧洲收集个人信息的公司都要遵守该条例。GDPR的处罚金额非常大,最高可达受罚者全球营收的4%。
Thales e-Security的策略与营销副总裁Peter Galvin指出,第三方风险监管目前仍然处于起步阶段,许多公司对这些风险都没有很好的处理办法。“金融公司已经習惯了这些,并为此做了许多准备。但是许多公司并不理解这些风险,我们将看到数据泄露事件变得越来越多,同时也将会看到更多的相关法律诉讼。”
专家预计更多的监管部门将开始要求公司采取更多措施来应对第三方风险。Focal Point Data Risk的数据隐私实践主管Eric Dieterich 称:“我们已经看到这是一个大趋势。”
隐藏在硬件和软件供应链中的风险
几乎每家公司都会使用外部软件和硬件。得益于开源经济的兴起,人们不再需要从零开始自己开发所有的技术。但是这种思维模式存在着巨大的风险。所有采购的设备和下载的应用都需要经过审查,对其中存在的潜在安全风险进行监测并及时更新所有的补丁。
Flashpoint Intelligence的研究人员在4月份称,犯罪分子正加大力度攻击流行的开源Magento电子商务平台,暴力破解密码以获得信用卡记录以及安装带有后门的恶意软件。
研究人员发现了至少1000个存在隐患的Magento管理面板,并指出不法分子自2016年以来对存在于深网和暗网上的该平台的兴趣一直未曾减弱过。此外,Powerfront CMS和OpenCart也引起了不法分子的极大兴趣。
去年,Magento社区版的一个CSRF漏洞导致了20万个在线零售商信息被曝光。由于泄露的数据库包含了敏感的客户信息,如果被利用的话,那么这一漏洞将导致整个系统受到威胁。由于Magento商业版共享了相同的底层代码,因此企业运营也将会受到影响。
不仅是公司自己的数据存在风险,如果存在漏洞的软件或硬件组件被嵌入到产品中还将可能带来一系列的安全问题。存在安全后门的计算机芯片、没有高强度认证的摄像头或是存在问题的软件将会导致重大损失。例如,心脏出血漏洞影响了数百万的网站和移动设备,以及由甲骨文、VMware和思科等知名厂商提供的软件。
思科全球价值链首席安全官Edna Conway 称:“我们担心被操纵,担心被网络间谍入侵,担心被破坏,政府和行业层面也是如此。”例如,硬件或软件产品会在供应链的某处被故意篡改或是被假冒产品替代。
Conway指出,思科还担心由于第三方数据泄露导致其机密信息或敏感的知识产权受到损害。“我们正致力于提供能够以设计的运行方式运行的解决方案。如果客户不满意或是声誉受损,那么会影响到一些根本性的东西。值得信任这一因素是必不可少的,同时声誉也是值得信任这一因素本身所蕴含的商业价值。”
许多公司都制定有供应商必须达到的质量标准。思科在安全方面也采取了相同的措施。“针对第三方提供的定制产品和服务,我们的部署方法允许我们对遵守思科价值和目标的第三方生态系统中的成员建立起不同的容忍程度。一旦有了容忍度,你就能衡量他们是高于还是低于容忍度。如果他们低于容忍度,我们会一起坐下来并探讨如何共同解决这一问题。”
云提供商安全风险
单一而简单的组织机构已经被数字化生态系统所取代,从单个应用到整个数据中心在内的所有东西都迁移到了云提供商那里。CyberGRX的首席执行官Fred Kneip称:“我们必须要保护的东西都远离了我们的环境。黑客非常狡猾,他们会找到一条抵抗程度最低的入侵路径。” Kneip称,目前甚至连硬件也具备了云功能。“用于自动连网的物联网连接工具中的默认设置会向制造商发送诊断数据,以便制造商进行预见性维护。这听起来很不错,但是这同时也为我们的整个环境撕开了一个口子。”
专业服务公司可能更缺乏安全防护
安全厂商CrowdStrike的EMEA区工程销售主管John Titmus称:“安全性实际上是最薄弱的环节。供应链攻击正越来越广泛,越来越频繁且越来越复杂。我们要理解这些风险的本质,并围绕这些风险制定一个安全路线图。”
去年夏天,美国共和党全国委员会所聘用的市场营销公司Deep Root Analytics泄露了2亿多名投票者的个人数据。据Deep Root Analytics在LinkedIn上的简介显示,该公司规模不大,只有不到50名员工。在这起事件中,Deep Root Analytics意外地将数据放在了能够被公众访问的服务器上。
规模更大的服务公司也会出现漏洞。导致600多万条用户记录泄露的Verizon数据泄露事件是由用户服务分析提供商Nice Systems造成的。该公司将6个月的客服电话记录,包括账户和个人信息都放在了公共的亚马逊S3存储服务器上。
Nice的介绍显示,该公司拥有3500名员工,为《财富》100强排行榜中85%以上的上榜公司提供着服务。与拥有超过25万员工的德勤会计师事务所相比,Nice的规模实在太小。然而,在去年9月份,德勤会计师事务所承认黑客成功入侵了其部分优质客户的电子邮件和机密计划。据报道,由于管理员账户对访问控制存在漏洞,导致攻击者成功获取了访问权限。
卡巴斯基实验室首席安全研究员Kurt Baumgartner 称:“如果我们看到攻击者为了到达最终要攻击的目标而越来越多地以供应侧公司作为跳板展开攻击,我们一点也不会感到吃惊。”
如何管理第三方风险:首要步骤
对第三方网络安全风险的适度监管会带来比仅进行合规监管更多的好处。据波耐蒙报告显示,这一举措真正降低了发生数据泄露的可能性。该研究报告的赞助公司Opus Global的创新与联盟副总裁Dov Goldman称:“我们可以将发生数据泄露的可能性降低20个百分点。”
尤其是,如果公司对所有供应商的安全和隐私策略进行了评估,那么发生数据泄露事件的可能性将会由66%下降至46%。Goldman补充道,这一举措要将所有的供应商都包括在内。
Goldman 指出,“合作规模大并不一定代表风险最大。”最大的供应商可能已经在适当的位置部署了复杂的网络安全防护措施。“但是如果看一下规模较小的供应商,他们可能没有与大供应商相同水平的网络安全控制。”
一旦公司搞清楚了所有的厂商,知道哪些厂商有权访问他们的敏感数据,那么他们可以找到许多工具来帮助评估自己的安全水平。云安全公司Evident的首席执行官Tim Prendergast举例称,一些公司已经将安全性放到了与供应商签订的服务等级协议当中。
他称:“我们正看到一种从要求提供商表明他们安全的承诺到提供相应协议的趋势。公司要求提供商对他们的合作伙伴也要执行相同的控制权限。我们看到许多这类合同正大量涌現。”
厂商可能会被要求进行自我评估,允许客户进行参观和审查,或是购买网络安全保险。有时候,一个更为全面彻底的评估是必要的。Kudelski Security的研究主管Ryan Spanier称:“我们已经看到许多公司在对他们的服务提供商进行审查。我们与之合作的一个大型金融机构要求对我们进行审查,并派人到我们的公司现场进行渗透测试,查看数据存储位置和防护措施。”
尽管如此,一些规模较小的客户可能并没有这样的能力。“他们只需要提供第三方审查的证明,查看结果并进行评估。在继续进行合作之前,他们会被要求解决存在的隐患。你还可以选择自己了解的安全防护措施较为完善的公司,但是这样一来事情会变得非常困难,因为目前这样的公司并不多。”
此外,市场上还出现了一些专门提供安全考评的组织机构。例如,BitSight Technologies 和SecurityScorecard会对外部厂商展开评估,对其网络抵御攻击的安全程度进行打分。
在更深层次的评估方面,德勤和CyberGRX已经合作展开审查和不间断的评估,通过关注厂商的内部策略和流程,使得厂商不必再对他们的每个客户分别进行回应。Aetna 的首席安全官Jim Routh 称:“公司目前需要将第三方网络风险作为应进行持续管理的业务风险对待。” CyberGRX Exchange使得所有的公司都能够采取这种方式。
一些金融财团也在做相似的事情。去年11月,美国运通、美国银行、摩根大通和富国银行合作创建了一个名为TruSight的厂商评估服务。去年6月,巴克莱银行、高盛集团、汇丰银行和摩根士丹利宣布他们将参与由IHS Markit推出的Know Your Third Party(了解第三方)风险管理方案。
Routh称,第三方风险管理如今需要一些新的方法。“新的方法要让公司能够了解风险隐藏在数字生态系统中的何处,并根据这些风险能够有针对性地调整控制权限以及与第三方合作修复并化解这些风险。”
由于攻击类型是新的,加之公众对威胁的意识不断增强和监管部门加大了监管力度,与供应链攻击相关的风险意识并没有提升。与此同时,为了制造一个“完美风暴”,攻击者比以前有了更多的可用资源和工具。
供应链攻击的示例与范围
由供应商导致的重大网络泄密事件从来都没有停止过。2014年美国零售巨头塔吉特(Target)的大规模数据泄露事件是由HVAC(供热通风与空气调节)厂商在安全方面的疏忽所导致的。美国知名征信机构Equifax去年将其出现的严重数据泄漏事件归咎于所使用的外部软件带来漏洞,他们还将网站上出现恶意下载链接的情况归咎于另一家厂商。
此外,还有“天堂文件”事件曝光了大约1300万份详细介绍了知名公司、政治人物、社会名流如何进行离岸避税的文件。源头是什么?和前年的“巴拿马文件”事件一样,法律事务所成为了最薄弱的一环。
这些并不是孤立的事件。据安全研究机构Ponemon Institute去年秋季的调查显示,56%的机构曾经出现过因供应商导致的数据泄露。在每家机构中,有权访问其敏感数据的第三方厂商的平均数量由378家增长到了471家。这个数字可能有点低。仅35%的公司有共享他们敏感数据的所有第三方厂商的名单。
仅18%的公司表示他们知道这些厂商是否在与其他供应商共享自己的信息。这是一个问题,因为用户并不关心是公司的供应商还是公司本身泄露了数据。
更糟糕的是,在供应关系终止后风险并不会随之消失。Domino’s Australia在去年秋季出现了一个安全漏洞,一家前供应商的系统泄露了客户姓名和电子邮件地址。Prevalent公司第三方策略资深主管Brad Keller 称:“我所看到的大部分合同对于如何管理供应关系终止程序都缺乏详细的规定。”
与此同时,监管部门也正在加大对第三方风险的关注力度。去年,纽约州金融监管部门开始要求在当地开展业务的金融公司要确保其供应商在网络安全防护上也要达标。
欧洲也将采取相同的举措。根据《通用数据保护条例》(GDPR),所有从欧洲收集个人信息的公司都要遵守该条例。GDPR的处罚金额非常大,最高可达受罚者全球营收的4%。
Thales e-Security的策略与营销副总裁Peter Galvin指出,第三方风险监管目前仍然处于起步阶段,许多公司对这些风险都没有很好的处理办法。“金融公司已经習惯了这些,并为此做了许多准备。但是许多公司并不理解这些风险,我们将看到数据泄露事件变得越来越多,同时也将会看到更多的相关法律诉讼。”
专家预计更多的监管部门将开始要求公司采取更多措施来应对第三方风险。Focal Point Data Risk的数据隐私实践主管Eric Dieterich 称:“我们已经看到这是一个大趋势。”
隐藏在硬件和软件供应链中的风险
几乎每家公司都会使用外部软件和硬件。得益于开源经济的兴起,人们不再需要从零开始自己开发所有的技术。但是这种思维模式存在着巨大的风险。所有采购的设备和下载的应用都需要经过审查,对其中存在的潜在安全风险进行监测并及时更新所有的补丁。
Flashpoint Intelligence的研究人员在4月份称,犯罪分子正加大力度攻击流行的开源Magento电子商务平台,暴力破解密码以获得信用卡记录以及安装带有后门的恶意软件。
研究人员发现了至少1000个存在隐患的Magento管理面板,并指出不法分子自2016年以来对存在于深网和暗网上的该平台的兴趣一直未曾减弱过。此外,Powerfront CMS和OpenCart也引起了不法分子的极大兴趣。
去年,Magento社区版的一个CSRF漏洞导致了20万个在线零售商信息被曝光。由于泄露的数据库包含了敏感的客户信息,如果被利用的话,那么这一漏洞将导致整个系统受到威胁。由于Magento商业版共享了相同的底层代码,因此企业运营也将会受到影响。
不仅是公司自己的数据存在风险,如果存在漏洞的软件或硬件组件被嵌入到产品中还将可能带来一系列的安全问题。存在安全后门的计算机芯片、没有高强度认证的摄像头或是存在问题的软件将会导致重大损失。例如,心脏出血漏洞影响了数百万的网站和移动设备,以及由甲骨文、VMware和思科等知名厂商提供的软件。
思科全球价值链首席安全官Edna Conway 称:“我们担心被操纵,担心被网络间谍入侵,担心被破坏,政府和行业层面也是如此。”例如,硬件或软件产品会在供应链的某处被故意篡改或是被假冒产品替代。
Conway指出,思科还担心由于第三方数据泄露导致其机密信息或敏感的知识产权受到损害。“我们正致力于提供能够以设计的运行方式运行的解决方案。如果客户不满意或是声誉受损,那么会影响到一些根本性的东西。值得信任这一因素是必不可少的,同时声誉也是值得信任这一因素本身所蕴含的商业价值。”
许多公司都制定有供应商必须达到的质量标准。思科在安全方面也采取了相同的措施。“针对第三方提供的定制产品和服务,我们的部署方法允许我们对遵守思科价值和目标的第三方生态系统中的成员建立起不同的容忍程度。一旦有了容忍度,你就能衡量他们是高于还是低于容忍度。如果他们低于容忍度,我们会一起坐下来并探讨如何共同解决这一问题。”
云提供商安全风险
单一而简单的组织机构已经被数字化生态系统所取代,从单个应用到整个数据中心在内的所有东西都迁移到了云提供商那里。CyberGRX的首席执行官Fred Kneip称:“我们必须要保护的东西都远离了我们的环境。黑客非常狡猾,他们会找到一条抵抗程度最低的入侵路径。” Kneip称,目前甚至连硬件也具备了云功能。“用于自动连网的物联网连接工具中的默认设置会向制造商发送诊断数据,以便制造商进行预见性维护。这听起来很不错,但是这同时也为我们的整个环境撕开了一个口子。”
专业服务公司可能更缺乏安全防护
安全厂商CrowdStrike的EMEA区工程销售主管John Titmus称:“安全性实际上是最薄弱的环节。供应链攻击正越来越广泛,越来越频繁且越来越复杂。我们要理解这些风险的本质,并围绕这些风险制定一个安全路线图。”
去年夏天,美国共和党全国委员会所聘用的市场营销公司Deep Root Analytics泄露了2亿多名投票者的个人数据。据Deep Root Analytics在LinkedIn上的简介显示,该公司规模不大,只有不到50名员工。在这起事件中,Deep Root Analytics意外地将数据放在了能够被公众访问的服务器上。
规模更大的服务公司也会出现漏洞。导致600多万条用户记录泄露的Verizon数据泄露事件是由用户服务分析提供商Nice Systems造成的。该公司将6个月的客服电话记录,包括账户和个人信息都放在了公共的亚马逊S3存储服务器上。
Nice的介绍显示,该公司拥有3500名员工,为《财富》100强排行榜中85%以上的上榜公司提供着服务。与拥有超过25万员工的德勤会计师事务所相比,Nice的规模实在太小。然而,在去年9月份,德勤会计师事务所承认黑客成功入侵了其部分优质客户的电子邮件和机密计划。据报道,由于管理员账户对访问控制存在漏洞,导致攻击者成功获取了访问权限。
卡巴斯基实验室首席安全研究员Kurt Baumgartner 称:“如果我们看到攻击者为了到达最终要攻击的目标而越来越多地以供应侧公司作为跳板展开攻击,我们一点也不会感到吃惊。”
如何管理第三方风险:首要步骤
对第三方网络安全风险的适度监管会带来比仅进行合规监管更多的好处。据波耐蒙报告显示,这一举措真正降低了发生数据泄露的可能性。该研究报告的赞助公司Opus Global的创新与联盟副总裁Dov Goldman称:“我们可以将发生数据泄露的可能性降低20个百分点。”
尤其是,如果公司对所有供应商的安全和隐私策略进行了评估,那么发生数据泄露事件的可能性将会由66%下降至46%。Goldman补充道,这一举措要将所有的供应商都包括在内。
Goldman 指出,“合作规模大并不一定代表风险最大。”最大的供应商可能已经在适当的位置部署了复杂的网络安全防护措施。“但是如果看一下规模较小的供应商,他们可能没有与大供应商相同水平的网络安全控制。”
一旦公司搞清楚了所有的厂商,知道哪些厂商有权访问他们的敏感数据,那么他们可以找到许多工具来帮助评估自己的安全水平。云安全公司Evident的首席执行官Tim Prendergast举例称,一些公司已经将安全性放到了与供应商签订的服务等级协议当中。
他称:“我们正看到一种从要求提供商表明他们安全的承诺到提供相应协议的趋势。公司要求提供商对他们的合作伙伴也要执行相同的控制权限。我们看到许多这类合同正大量涌現。”
厂商可能会被要求进行自我评估,允许客户进行参观和审查,或是购买网络安全保险。有时候,一个更为全面彻底的评估是必要的。Kudelski Security的研究主管Ryan Spanier称:“我们已经看到许多公司在对他们的服务提供商进行审查。我们与之合作的一个大型金融机构要求对我们进行审查,并派人到我们的公司现场进行渗透测试,查看数据存储位置和防护措施。”
尽管如此,一些规模较小的客户可能并没有这样的能力。“他们只需要提供第三方审查的证明,查看结果并进行评估。在继续进行合作之前,他们会被要求解决存在的隐患。你还可以选择自己了解的安全防护措施较为完善的公司,但是这样一来事情会变得非常困难,因为目前这样的公司并不多。”
此外,市场上还出现了一些专门提供安全考评的组织机构。例如,BitSight Technologies 和SecurityScorecard会对外部厂商展开评估,对其网络抵御攻击的安全程度进行打分。
在更深层次的评估方面,德勤和CyberGRX已经合作展开审查和不间断的评估,通过关注厂商的内部策略和流程,使得厂商不必再对他们的每个客户分别进行回应。Aetna 的首席安全官Jim Routh 称:“公司目前需要将第三方网络风险作为应进行持续管理的业务风险对待。” CyberGRX Exchange使得所有的公司都能够采取这种方式。
一些金融财团也在做相似的事情。去年11月,美国运通、美国银行、摩根大通和富国银行合作创建了一个名为TruSight的厂商评估服务。去年6月,巴克莱银行、高盛集团、汇丰银行和摩根士丹利宣布他们将参与由IHS Markit推出的Know Your Third Party(了解第三方)风险管理方案。
Routh称,第三方风险管理如今需要一些新的方法。“新的方法要让公司能够了解风险隐藏在数字生态系统中的何处,并根据这些风险能够有针对性地调整控制权限以及与第三方合作修复并化解这些风险。”