亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

企業(yè)安全的薄弱環(huán)節(jié)可能在于合作伙伴和供應(yīng)商。以下講述了如何了解和減輕這種風(fēng)險(xiǎn)。

供應(yīng)鏈攻擊，也稱價(jià)值鏈攻擊或第三方攻擊，發(fā)生在有攻擊者通過可訪問企業(yè)系統(tǒng)和數(shù)據(jù)的外部合作伙伴或者供應(yīng)商的信息，潛入內(nèi)部系統(tǒng)的時(shí)候。這一攻擊方式，在過去幾年里極大地改變了典型的企業(yè)攻擊方式，因?yàn)槟軌蚪佑|到敏感數(shù)據(jù)的供應(yīng)商和服務(wù)提供商的數(shù)量，要比以往任何時(shí)候都要多。

供應(yīng)鏈攻擊帶來了前所未有的高風(fēng)險(xiǎn)，由于新型攻擊方式的出現(xiàn)，公眾對(duì)威脅的認(rèn)識(shí)不斷提高，監(jiān)管機(jī)構(gòu)也加強(qiáng)了監(jiān)管力度。 同時(shí)，攻擊者擁有比以往更多的資源和工具。在這一背景下企業(yè)安全將面臨重重危機(jī)。

供應(yīng)鏈攻擊事件

供應(yīng)商造成的重大網(wǎng)絡(luò)入侵事件層出不窮。2014年Target數(shù)據(jù)泄漏事件，起因是由于第三方HVAC（供熱通風(fēng)與空氣調(diào)節(jié)）承包商對(duì)安全的疏忽。今年Equifax將其大型數(shù)據(jù)泄露歸咎于他們使用的第三方軟件的漏洞。而他們將其網(wǎng)站上的一個(gè)惡意下載鏈接，歸咎于另一家供應(yīng)商。

還有“天堂文件”（Paradise Papers）事件，泄露了超過1300萬份詳細(xì)記錄大型企業(yè)，政界人士和名人離岸避稅行為的文件。其泄露源頭正如去年的“巴拿馬文件”（Panama Papers） 事件，是一家律師事務(wù)所——一個(gè)其中最薄弱的環(huán)節(jié)。

供應(yīng)鏈攻擊概況

這些事件并不是孤立的。根據(jù)波耐蒙研究所（Ponemon Institute）在2018年秋季進(jìn)行的一項(xiàng)調(diào)查，56%的組織機(jī)構(gòu)遭遇過由他們某個(gè)供應(yīng)商造成的網(wǎng)絡(luò)入侵。同時(shí)，每個(gè)組織機(jī)構(gòu)中，能夠接訪問敏感信息的第三方平均數(shù)量由378增加到了471。這個(gè)數(shù)量可能有些少，但是只有35%的組織機(jī)構(gòu)擁有正在與他們共享敏感信息的所有第三方名單。

只有18%的企業(yè)表示，他們知道這些供應(yīng)商是否在和其他供應(yīng)商分享這些信息。這是一個(gè)問題，因?yàn)榭蛻舨⒉魂P(guān)心是否是公司本身，還是該公司的供應(yīng)商泄露了數(shù)據(jù)。

出于上述原因，企業(yè)正在加大對(duì)第三方數(shù)據(jù)泄露風(fēng)險(xiǎn)的監(jiān)控力度。2018年12月，波耐蒙研究所發(fā)布的網(wǎng)絡(luò)風(fēng)險(xiǎn)報(bào)告（Ponemon Institute Cyber Risk Report）中發(fā)現(xiàn)，第三方濫用或者未經(jīng)授權(quán)共享機(jī)密數(shù)據(jù)，是2019年IT專業(yè)人士擔(dān)心的第二大安全問題（64%）。有41%的受訪人員表示在過去24個(gè)月里經(jīng)歷過與第三方相關(guān)的安全事件。

當(dāng)你發(fā)覺風(fēng)險(xiǎn)不會(huì)隨著與供應(yīng)商合作終止而消失時(shí)，問題會(huì)變得更糟糕。這個(gè)秋天，澳大利亞多米諾（Domino）披薩發(fā)生了一起安全事件，稱一家前供應(yīng)商的系統(tǒng)泄露了客戶姓名和電子郵件地址。Prevalent公司第三方戰(zhàn)略高級(jí)主管Brad Keller表示：

大部分我審核的合同，并沒有包含對(duì)管理復(fù)雜的合作終止流程需要的詳細(xì)信息。

此外，監(jiān)管機(jī)構(gòu)也越來越關(guān)注第三方帶來的風(fēng)險(xiǎn)。去年，紐約州金融監(jiān)管機(jī)構(gòu)開始要求金融機(jī)構(gòu)在紐約設(shè)有辦公室，以確保這些機(jī)構(gòu)供應(yīng)商的網(wǎng)絡(luò)安全保護(hù)措施達(dá)到了標(biāo)準(zhǔn)。

明年，歐洲也會(huì)采取同樣的措施，其頒布的《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation ，GDPR)）適用于所有收集歐洲用戶個(gè)人信息的公司。

Thales e-Security戰(zhàn)略與營銷副總裁Peter Galvin表示，第三方風(fēng)險(xiǎn)監(jiān)管仍處于初級(jí)階段，很多公司并不能很好地應(yīng)對(duì)這些風(fēng)險(xiǎn)。

金融機(jī)構(gòu)已經(jīng)習(xí)慣了這些，而且準(zhǔn)備更加充分。但是很多公司并沒有意識(shí)到這些風(fēng)險(xiǎn)，你會(huì)看到入侵事件將會(huì)增加，而且會(huì)看到更多的法律行動(dòng)。

專家預(yù)計(jì)將會(huì)有更多的監(jiān)管機(jī)構(gòu)開始要求企業(yè)對(duì)第三方風(fēng)險(xiǎn)采取更多的措施。Focal Point Data Risk公司數(shù)據(jù)隱私事務(wù)負(fù)責(zé)人Eric Dieterich表示：這是現(xiàn)在可以看到的一個(gè)持續(xù)的趨勢(shì)。

隱藏在硬件和軟件供應(yīng)鏈背后的風(fēng)險(xiǎn)

幾乎每家公司都在使用來自外部的軟件和硬件。由于開源經(jīng)濟(jì)的繁榮，沒有人會(huì)再從零開始構(gòu)建他們的技術(shù)了。但是在這種習(xí)慣背后，存在著巨大的風(fēng)險(xiǎn)。每個(gè)購入的設(shè)備，下載的應(yīng)用，都需要進(jìn)行審查并監(jiān)控其潛在的安全威脅，并且所有的補(bǔ)丁都必須是最新的。

今年四月，F(xiàn)lash Intelligence的研究人員表示，犯罪分子正在加強(qiáng)對(duì)流行的開源電子商務(wù)平臺(tái)Magento 的攻擊，試圖通過暴力破解密碼來竊取信用卡記錄和植入專門密碼挖掘的惡意軟件。

研究人員發(fā)現(xiàn)Magento至少有1000個(gè)管理面板被入侵，并且深網(wǎng)和暗網(wǎng)對(duì)該平臺(tái)興趣從2016年起就有增無減。此外，Powerfront CMS和OpenCar也引起了人們濃厚的興趣。

去年，Magento社區(qū)版（Magento Community Edition） 中的一個(gè)CSRF漏洞導(dǎo)致20萬家在線零售商的網(wǎng)絡(luò)數(shù)據(jù)處于裸奔的邊緣。如果被利用，這個(gè)漏洞可以用來入侵整個(gè)系統(tǒng)，從而暴露含有敏感客戶信息的數(shù)據(jù)庫。由于商業(yè)版本的Magento共享相同的底層代碼，人們沒有理由不擔(dān)心企業(yè)運(yùn)營也會(huì)受到影響。

不僅一家公司自身的的數(shù)據(jù)面臨風(fēng)險(xiǎn)，如果有漏洞的軟件或者硬件組件被用于一個(gè)產(chǎn)品當(dāng)中，可能會(huì)導(dǎo)致更多根本的安全問題。一個(gè)感染安全后門的電腦芯片，一個(gè)沒有強(qiáng)認(rèn)證的相機(jī)或者是一個(gè)不良的軟件組件都能造成大規(guī)模破壞。例如Heartbleed漏洞，感染了數(shù)百萬網(wǎng)站和移動(dòng)設(shè)備以及很多大型供應(yīng)商生產(chǎn)的軟件，包括Oracle（甲骨文），VMware和Cisco（思科）。

思科系全球價(jià)值鏈?zhǔn)紫踩貳dna Conway表示：

我們擔(dān)心被操縱，我們擔(dān)心國家和行業(yè)層面上的間諜活動(dòng)，我們也擔(dān)心被干擾。例如，硬件或者軟件產(chǎn)品可能在供應(yīng)鏈的某個(gè)環(huán)節(jié)被蓄意篡改，或者被偽造品所替代。

Conways表示，思科同時(shí)也擔(dān)心因?yàn)榈谌铰┒炊斐傻臋C(jī)密信息或敏感知識(shí)產(chǎn)權(quán)泄露。思科致力于提供合理的解決方案。如果你的客戶不滿意，你的信譽(yù)就會(huì)受損，這就會(huì)影響企業(yè)經(jīng)營。這種信任是絕對(duì)必要的，而信任通過信譽(yù)的方式在商業(yè)活動(dòng)中體現(xiàn)。

很多企業(yè)都有供應(yīng)商必須滿足的質(zhì)量標(biāo)準(zhǔn)。思科在安全方面采用相同的方法。

我們采用的方案能夠允許企業(yè)根據(jù)第三方供應(yīng)商符合我們的價(jià)值觀和目標(biāo)的程度，建立相應(yīng)的容忍等級(jí)，并根據(jù)第三方供應(yīng)商提供的產(chǎn)品和服務(wù)的獨(dú)特性進(jìn)行調(diào)整。一旦有了容忍等級(jí)，你就可以開始衡量你是否處于，高于或者低于容忍水平。如果他們超過了容忍水平，我們可以一起坐下來談?wù)?‘我們?cè)趺茨軌蛞黄鸾鉀Q這個(gè)問題？’。

云供應(yīng)商安全風(fēng)險(xiǎn)

單一，精簡的組織機(jī)構(gòu)已經(jīng)被數(shù)字生態(tài)系統(tǒng)所取代，在這個(gè)系統(tǒng)中里，從單個(gè)應(yīng)用程序到整個(gè)數(shù)據(jù)中心都轉(zhuǎn)移到了云供應(yīng)商手中。你想要保護(hù)的東西已經(jīng)遠(yuǎn)在你的環(huán)境外。而且黑客很聰明。他們會(huì)走捷徑。

Kneip表示，如今甚至硬件也開始走向云計(jì)算。汽車生產(chǎn)線中基于物聯(lián)網(wǎng)的焊接工具默認(rèn)設(shè)置是向制造商發(fā)送診斷信息，以便他們進(jìn)行預(yù)測(cè)性維護(hù)。這聽起來很棒，但是這也可能成為潛入你所有環(huán)境的一個(gè)通道。

專業(yè)服務(wù)供應(yīng)商可能更不安全

安全供應(yīng)商CrowdStrike，歐洲、中東及非洲(EMEA)銷售工程主管John Titmus表示：安全真的只取決于最薄弱的環(huán)節(jié)。供應(yīng)鏈攻擊正在變得更加廣泛，其頻率和復(fù)雜程度也在不斷增加。你需要知道風(fēng)險(xiǎn)的本質(zhì)，并且圍繞它規(guī)劃安全路線圖。

這個(gè)夏天，共和黨全國委員會(huì)（Republican National Committee）合作的營銷公司Deep Root Analytics，泄露了2億選民的個(gè)人數(shù)據(jù)。這是一個(gè)小型公司，根據(jù)其在LiknedIn上的資料，其員工人數(shù)不到50人。Deep Root Analytics不小心將數(shù)據(jù)放到了可公開訪問的服務(wù)器上。

大型服務(wù)供應(yīng)商也同樣容易受到攻擊。涉及到600萬客戶記錄的Verizon數(shù)據(jù)泄漏事件，是由其客戶服務(wù)分析供應(yīng)商N(yùn)ice Systems造成的。Nice將6個(gè)月的客戶服務(wù)通話記錄（包括賬戶和個(gè)人信息），放在了一個(gè)公共Amazon S3存儲(chǔ)服務(wù)器上。

Nice報(bào)告其公司擁有3500名員工，為超過85%的《財(cái)富》 100強(qiáng)企業(yè)提供服務(wù)。與德勤（Deloitte）， 一個(gè)擁有超過25萬員工的會(huì)計(jì)事務(wù)所相比，Nice只能算是一個(gè)小公司了。事后，德勤承認(rèn)黑客能夠訪問到其部分藍(lán)籌客戶的郵件和機(jī)密計(jì)劃。根據(jù)報(bào)告，攻擊者利用管理員賬戶薄弱的訪問控制，獲得了訪問權(quán)限。

卡巴斯基實(shí)驗(yàn)室（Kaspersky Lab）首席安全研究員Kurt Baumgartner表示：如果我們能看到攻擊者通過攻擊更多的供應(yīng)商來達(dá)到他們的最終目標(biāo)，我們不會(huì)感到意外。

如何管理第三方風(fēng)險(xiǎn)：第一步

對(duì)第三方網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行正確的監(jiān)管能夠帶來超出合規(guī)利益的紅利。根據(jù)Ponemon報(bào)告，這實(shí)際上減少了入侵事件發(fā)生的可能性。該研究的贊助商，Opus Global公司創(chuàng)新和聯(lián)盟副總裁Dov Goldman表示：如果你可以將數(shù)據(jù)泄露事件發(fā)生的概率減少20個(gè)百分點(diǎn)。

具體而言，如果一家企業(yè)能夠?qū)λ泄?yīng)商的安全和隱私政策進(jìn)行評(píng)估，事故發(fā)生的可能性將會(huì)從66%降至46%。這需要包括所有供應(yīng)商，Goldman補(bǔ)充道。

大型合作關(guān)系并不一定帶來最大的風(fēng)險(xiǎn)。最大的供應(yīng)商可能已經(jīng)部署了詳盡的網(wǎng)絡(luò)安全防御措施。但是如果你去看那些小一點(diǎn)的企業(yè)，他們并沒有同樣級(jí)別的網(wǎng)絡(luò)安全監(jiān)管措施。

一旦企業(yè)了解了其所有供應(yīng)商，以及哪些供應(yīng)商能夠訪問敏感數(shù)據(jù)，就可以使用各種工具來評(píng)估他們的安全等級(jí)。例如，一些公司在與他們供應(yīng)商服務(wù)水平協(xié)議中加入了安全相關(guān)條款，云安全公司Evident首席執(zhí)行官Tim Prendergast說道。

要求供應(yīng)商簽訂協(xié)議來表明他們對(duì)安全的承諾，我們看到了進(jìn)步。他們要求這些供應(yīng)商對(duì)他們的合作伙伴采取相似的監(jiān)管。我們將會(huì)看到一系列相關(guān)的法律合同。

供應(yīng)商可能會(huì)被要求進(jìn)行自我評(píng)估，允許客戶訪問，審查或購買網(wǎng)絡(luò)保險(xiǎn)。有時(shí)候，進(jìn)行一次更徹底的評(píng)估是有必要的。Kudelski Security研究主管Ryan Spanier表示： 我們看到很多企業(yè)對(duì)他們的服務(wù)供應(yīng)商進(jìn)行了審計(jì)。我們合作的一家大型金融機(jī)構(gòu)需要進(jìn)行審計(jì)，需要在現(xiàn)場(chǎng)進(jìn)行他們自己的滲透測(cè)試，來查看數(shù)據(jù)的分布以及其受保護(hù)程度。

然而，小型客戶可能沒有那么大的權(quán)威。他們只要求第三方的審計(jì)證明，根據(jù)其結(jié)果進(jìn)行審查。然后他們會(huì)要求企業(yè)在繼續(xù)合作前，解決發(fā)現(xiàn)的問題。你也可以將范圍鎖定在那些你知道安全工作做的好的企業(yè)，但是這很困難，因?yàn)槟壳斑@樣的企業(yè)并不多。

此外，還有一些提供安全評(píng)分的組織機(jī)構(gòu)。例如，BitSight Technologies和SecurityScorecard會(huì)查看外部供應(yīng)商，根據(jù)面對(duì)攻擊其網(wǎng)絡(luò)達(dá)到的安全程度，來對(duì)企業(yè)進(jìn)行評(píng)分。

為了進(jìn)行更深入的評(píng)估，查看供應(yīng)商的內(nèi)部政策和流程，Deloitte（德勤）和CyberGRX已經(jīng)聯(lián)手進(jìn)行審核和持續(xù)性評(píng)估，以避免供應(yīng)商需要單獨(dú)對(duì)每個(gè)客戶進(jìn)行回應(yīng)。Aetna首席運(yùn)營官Jim Routh表示：現(xiàn)在的企業(yè)需要將第三方網(wǎng)絡(luò)安全當(dāng)做一個(gè)商業(yè)風(fēng)險(xiǎn)進(jìn)行持續(xù)管理。CyberGRX Exchange（網(wǎng)絡(luò)風(fēng)險(xiǎn)信息交換平臺(tái)）使得所有公司都能采用這種方法。

有一些金融機(jī)構(gòu)正在做相似的事情。11月，美國運(yùn)通（American Express），美國銀行（Bank of America），摩根大通（JPMorgan）和富國銀行（Wells Fargo）聯(lián)合建立了名為TruSight的供應(yīng)商評(píng)估服務(wù)。6月，巴克萊銀行（Barclays），高盛集團(tuán)（Goldman Sachs），匯豐銀行（HSBC）和摩根士丹利（Morgan Stanley）宣布，他們將入股IHS Markit的Know Your Third Party風(fēng)險(xiǎn)管理解決方案。

公司應(yīng)該通過審查第三方是如何訪問他們的機(jī)密數(shù)據(jù)，來確保只有授權(quán)人員因?yàn)樘囟繕?biāo)訪問相關(guān)數(shù)據(jù)。根據(jù)Ponemon網(wǎng)絡(luò)風(fēng)險(xiǎn)報(bào)告，42%的受訪者表示要加強(qiáng)對(duì)第三方訪問機(jī)密數(shù)據(jù)的管控。

如今，第三方風(fēng)險(xiǎn)管理需要新的方案，一個(gè)能夠使企業(yè)了解數(shù)字生態(tài)系統(tǒng)的風(fēng)險(xiǎn)所在，能夠根據(jù)這些風(fēng)險(xiǎn)調(diào)整管控措施，并能夠與他們的第三方進(jìn)行合作來修復(fù)和減輕這些風(fēng)險(xiǎn)的方案。

波耐蒙研究所2018年秋季報(bào)告地址：

https://www.opus.com/resources/

Ponemon報(bào)告地址：

https://www.tenable.com/cyber-exposure/ponemon-cyber-risk-report