警惕供應鏈攻擊，當心第三方風險！

Maria Korolov

供應鏈攻擊也被稱為價值鏈或第三方攻擊，攻擊者利用有權訪問企業系統和數據的外部合作伙伴或提供商入侵企業的系統。隨著越來越多的供應商和服務提供商開始接觸到敏感數據，企業的攻擊面在過去幾年里發生了重大變化。

由于攻擊類型是新的，加之公眾對威脅的意識不斷增強和監管部門加大了監管力度，與供應鏈攻擊相關的風險意識并沒有提升。與此同時，為了制造一個“完美風暴”，攻擊者比以前有了更多的可用資源和工具。

供應鏈攻擊的示例與范圍

由供應商導致的重大網絡泄密事件從來都沒有停止過。2014年美國零售巨頭塔吉特（Target）的大規模數據泄露事件是由HVAC（供熱通風與空氣調節）廠商在安全方面的疏忽所導致的。美國知名征信機構Equifax去年將其出現的嚴重數據泄漏事件歸咎于所使用的外部軟件帶來漏洞，他們還將網站上出現惡意下載鏈接的情況歸咎于另一家廠商。

此外，還有“天堂文件”事件曝光了大約1300萬份詳細介紹了知名公司、政治人物、社會名流如何進行離岸避稅的文件。源頭是什么？和前年的“巴拿馬文件”事件一樣，法律事務所成為了最薄弱的一環。

這些并不是孤立的事件。據安全研究機構Ponemon Institute去年秋季的調查顯示，56%的機構曾經出現過因供應商導致的數據泄露。在每家機構中，有權訪問其敏感數據的第三方廠商的平均數量由378家增長到了471家。這個數字可能有點低。僅35%的公司有共享他們敏感數據的所有第三方廠商的名單。

僅18%的公司表示他們知道這些廠商是否在與其他供應商共享自己的信息。這是一個問題，因為用戶并不關心是公司的供應商還是公司本身泄露了數據。

更糟糕的是，在供應關系終止后風險并不會隨之消失。Domino's Australia在去年秋季出現了一個安全漏洞，一家前供應商的系統泄露了客戶姓名和電子郵件地址。Prevalent公司第三方策略資深主管Brad Keller 稱：“我所看到的大部分合同對于如何管理供應關系終止程序都缺乏詳細的規定。”

與此同時，監管部門也正在加大對第三方風險的關注力度。去年，紐約州金融監管部門開始要求在當地開展業務的金融公司要確保其供應商在網絡安全防護上也要達標。

歐洲也將采取相同的舉措。根據《通用數據保護條例》（GDPR），所有從歐洲收集個人信息的公司都要遵守該條例。GDPR的處罰金額非常大，最高可達受罰者全球營收的4%。

Thales e-Security的策略與營銷副總裁Peter Galvin指出，第三方風險監管目前仍然處于起步階段，許多公司對這些風險都沒有很好的處理辦法。“金融公司已經習慣了這些，并為此做了許多準備。但是許多公司并不理解這些風險，我們將看到數據泄露事件變得越來越多，同時也將會看到更多的相關法律訴訟。”

專家預計更多的監管部門將開始要求公司采取更多措施來應對第三方風險。Focal Point Data Risk的數據隱私實踐主管Eric Dieterich 稱：“我們已經看到這是一個大趨勢。”

隱藏在硬件和軟件供應鏈中的風險

幾乎每家公司都會使用外部軟件和硬件。得益于開源經濟的興起，人們不再需要從零開始自己開發所有的技術。但是這種思維模式存在著巨大的風險。所有采購的設備和下載的應用都需要經過審查，對其中存在的潛在安全風險進行監測并及時更新所有的補丁。

Flashpoint Intelligence的研究人員在4月份稱，犯罪分子正加大力度攻擊流行的開源Magento電子商務平臺，暴力破解密碼以獲得信用卡記錄以及安裝帶有后門的惡意軟件。

研究人員發現了至少1000個存在隱患的Magento管理面板，并指出不法分子自2016年以來對存在于深網和暗網上的該平臺的興趣一直未曾減弱過。此外，Powerfront CMS和OpenCart也引起了不法分子的極大興趣。

去年，Magento社區版的一個CSRF漏洞導致了20萬個在線零售商信息被曝光。由于泄露的數據庫包含了敏感的客戶信息，如果被利用的話，那么這一漏洞將導致整個系統受到威脅。由于Magento商業版共享了相同的底層代碼，因此企業運營也將會受到影響。

不僅是公司自己的數據存在風險，如果存在漏洞的軟件或硬件組件被嵌入到產品中還將可能帶來一系列的安全問題。存在安全后門的計算機芯片、沒有高強度認證的攝像頭或是存在問題的軟件將會導致重大損失。例如，心臟出血漏洞影響了數百萬的網站和移動設備，以及由甲骨文、VMware和思科等知名廠商提供的軟件。

思科全球價值鏈首席安全官Edna Conway 稱：“我們擔心被操縱，擔心被網絡間諜入侵，擔心被破壞，政府和行業層面也是如此。”例如，硬件或軟件產品會在供應鏈的某處被故意篡改或是被假冒產品替代。

Conway指出，思科還擔心由于第三方數據泄露導致其機密信息或敏感的知識產權受到損害。“我們正致力于提供能夠以設計的運行方式運行的解決方案。如果客戶不滿意或是聲譽受損，那么會影響到一些根本性的東西。值得信任這一因素是必不可少的，同時聲譽也是值得信任這一因素本身所蘊含的商業價值。”

許多公司都制定有供應商必須達到的質量標準。思科在安全方面也采取了相同的措施。“針對第三方提供的定制產品和服務，我們的部署方法允許我們對遵守思科價值和目標的第三方生態系統中的成員建立起不同的容忍程度。一旦有了容忍度，你就能衡量他們是高于還是低于容忍度。如果他們低于容忍度，我們會一起坐下來并探討如何共同解決這一問題。”

云提供商安全風險

單一而簡單的組織機構已經被數字化生態系統所取代，從單個應用到整個數據中心在內的所有東西都遷移到了云提供商那里。CyberGRX的首席執行官Fred Kneip稱：“我們必須要保護的東西都遠離了我們的環境。黑客非常狡猾，他們會找到一條抵抗程度最低的入侵路徑。”

Kneip稱，目前甚至連硬件也具備了云功能。“用于自動連網的物聯網連接工具中的默認設置會向制造商發送診斷數據，以便制造商進行預見性維護。這聽起來很不錯，但是這同時也為我們的整個環境撕開了一個口子。”

專業服務公司可能更缺乏安全防護

安全廠商CrowdStrike的EMEA區工程銷售主管John Titmus稱：“安全性實際上是最薄弱的環節。供應鏈攻擊正越來越廣泛，越來越頻繁且越來越復雜。我們要理解這些風險的本質，并圍繞這些風險制定一個安全路線圖。”

去年夏天，美國共和黨全國委員會所聘用的市場營銷公司Deep Root Analytics泄露了2億多名投票者的個人數據。據Deep Root Analytics在LinkedIn上的簡介顯示，該公司規模不大，只有不到50名員工。在這起事件中，Deep Root Analytics意外地將數據放在了能夠被公眾訪問的服務器上。

規模更大的服務公司也會出現漏洞。導致600多萬條用戶記錄泄露的Verizon數據泄露事件是由用戶服務分析提供商Nice Systems造成的。該公司將6個月的客服電話記錄，包括賬戶和個人信息都放在了公共的亞馬遜S3存儲服務器上。

Nice的介紹顯示，該公司擁有3500名員工，為《財富》100強排行榜中85%以上的上榜公司提供著服務。與擁有超過25萬員工的德勤會計師事務所相比，Nice的規模實在太小。然而，在去年9月份，德勤會計師事務所承認黑客成功入侵了其部分優質客戶的電子郵件和機密計劃。據報道，由于管理員賬戶對訪問控制存在漏洞，導致攻擊者成功獲取了訪問權限。

卡巴斯基實驗室首席安全研究員Kurt Baumgartner 稱：“如果我們看到攻擊者為了到達最終要攻擊的目標而越來越多地以供應側公司作為跳板展開攻擊，我們一點也不會感到吃驚。”

如何管理第三方風險：首要步驟

對第三方網絡安全風險的適度監管會帶來比僅進行合規監管更多的好處。據波耐蒙報告顯示，這一舉措真正降低了發生數據泄露的可能性。該研究報告的贊助公司Opus Global的創新與聯盟副總裁Dov Goldman稱：“我們可以將發生數據泄露的可能性降低20個百分點。”

尤其是，如果公司對所有供應商的安全和隱私策略進行了評估，那么發生數據泄露事件的可能性將會由66%下降至46%。Goldman補充道，這一舉措要將所有的供應商都包括在內。

Goldman 指出，“合作規模大并不一定代表風險最大。”最大的供應商可能已經在適當的位置部署了復雜的網絡安全防護措施。“但是如果看一下規模較小的供應商，他們可能沒有與大供應商相同水平的網絡安全控制。”

一旦公司搞清楚了所有的廠商，知道哪些廠商有權訪問他們的敏感數據，那么他們可以找到許多工具來幫助評估自己的安全水平。云安全公司Evident的首席執行官Tim Prendergast舉例稱，一些公司已經將安全性放到了與供應商簽訂的服務等級協議當中。

他稱：“我們正看到一種從要求提供商表明他們安全的承諾到提供相應協議的趨勢。公司要求提供商對他們的合作伙伴也要執行相同的控制權限。我們看到許多這類合同正大量涌現。”

廠商可能會被要求進行自我評估，允許客戶進行參觀和審查，或是購買網絡安全保險。有時候，一個更為全面徹底的評估是必要的。Kudelski Security的研究主管Ryan Spanier稱：“我們已經看到許多公司在對他們的服務提供商進行審查。我們與之合作的一個大型金融機構要求對我們進行審查，并派人到我們的公司現場進行滲透測試，查看數據存儲位置和防護措施。”

盡管如此，一些規模較小的客戶可能并沒有這樣的能力。“他們只需要提供第三方審查的證明，查看結果并進行評估。在繼續進行合作之前，他們會被要求解決存在的隱患。你還可以選擇自己了解的安全防護措施較為完善的公司，但是這樣一來事情會變得非常困難，因為目前這樣的公司并不多。”

此外，市場上還出現了一些專門提供安全考評的組織機構。例如，BitSight Technologies 和SecurityScorecard會對外部廠商展開評估，對其網絡抵御攻擊的安全程度進行打分。

在更深層次的評估方面，德勤和CyberGRX已經合作展開審查和不間斷的評估，通過關注廠商的內部策略和流程，使得廠商不必再對他們的每個客戶分別進行回應。Aetna 的首席安全官Jim Routh 稱：“公司目前需要將第三方網絡風險作為應進行持續管理的業務風險對待。” CyberGRX Exchange使得所有的公司都能夠采取這種方式。

一些金融財團也在做相似的事情。去年11月，美國運通、美國銀行、摩根大通和富國銀行合作創建了一個名為TruSight的廠商評估服務。去年6月，巴克萊銀行、高盛集團、匯豐銀行和摩根士丹利宣布他們將參與由IHS Markit推出的Know Your Third Party（了解第三方）風險管理方案。

Routh稱，第三方風險管理如今需要一些新的方法。“新的方法要讓公司能夠了解風險隱藏在數字生態系統中的何處，并根據這些風險能夠有針對性地調整控制權限以及與第三方合作修復并化解這些風險。”