APP下载

第三方让您的网络暴露在攻击之下

2017-06-16RyanFrancis

计算机世界 2017年22期
关键词:供应商用户企业

Ryan+Francis

很多企业在缺乏内部资源时都会聘请第三方提供商来填补空白。通常会允许第三方供应商访问其网络。但是几年前由于HVAC供应商安全性不足导致Target的网络被攻破之后,人们关注的重点就一直是怎样让第三方访问网络而又不会带来安全漏洞。

使用第三方提供商是非常常见的,随之而来的泄露事件也是如此。身份识别风险和生活方式解决方案提供商SecZetta声称,平均而言,40%的员工来自第三方。Soha Systems最近进行的一项调查显示,63%的数据泄露可归因于第三方。SecZetta的一篇博客文章说:“越来越多的依赖第三方员工,加上黑客也越来越老练,导致很多企业目前都面临身份和访问管理危机——无论他们是否意识到这一点。”

Exabeam的首席营销官Rick Caccia解释说,Target的泄露事件说明即使是值得信赖的合作伙伴也会带来风险。一方面,他们通常可以访问企业环境中最敏感的数据和系统。另一方面,企业对合作伙伴自身的安全流程几乎不做调查,并不真正了解合作伙伴的员工及其日常工作例程。

Bugcrowd业务副总裁David Baker说:“很多首席安全官的经验是,只使用那些做得比你好第三方。那么无论是提供封装还是管理您的数据中心,如果外包第三方做得更好,那么是可以使用他们的。这就延伸到安全问题。”

他说,例如,许多企业将其数据中心外包给亚马逊网络服务(AWS),这不仅是因为在AWS上开发技术要比企业自己实现的更好,而且还因为其安全性要优于企业自己进行建设。

Baker说:“如果您使用第三方并希望避免出现类似Target的情况,那么就需要有一个流程来选择这些第三方,并且流程标准的很大一部分应该是关于安全的。在安全方面,您一定要判断出他们是否做得比您更好。”

Agari首席科学家Markus Jakobsson指出,与第三方供应商合作最大的缺点是失去对安全的控制。每家供应商不仅在企业网络上为网络犯罪分子入侵提供了新的入口点,而且还意味着该供应商的每名员工现在都有可能成为让您的品牌受到损害的潜在目标。然而,确保企业不会面临更大风险的唯一方法就是把一切都保持在内部。但在今天的数字世界中,这不切实际。

ObserveIT 首席执行官Mike McKee说,缺乏对第三方提供商用户的深入了解——无论是无意的还是有意的,都会带来巨大的安全隐患。

他说:“任何企业都必须明确哪些外部合作方能够访问系统和数据,并制定了安全程序以及这些用户要严格遵循的政策,还要有有效的技术措施来监视和探测第三方是否会给企业带来风险。”

Verint Systems网络产品管理和业务发展副总裁Yitzhak(Itzik)Vager说,如果由于开展业务而导致您的网络容易受到第三方的攻击,那么一定会让您付出代价。例如,制造商直接与供应商联系来管理即时生产。会计部门与外部发票和收据系统相连接,营销部门已经授权给所有类型的自动化解决方案可以访问网络基础设施。

“企业可以假设他们已经被第三方攻破,在网络中留下了漏洞,因此他们需要采用检测和应对区域解决方案,从全局考虑,通过探测整个网络、端点设备和有效载荷来实现全面的可见性。”

Absolute的全球安全策略师Richard Henderson对此表示同意。“在大多数情况下,公司没有办法了解这些合作伙伴是否有漏洞,是否有可能成为攻击的牺牲品。除此之外,监管机构(和客户)真的并不关心是不是要有人负责,这似乎是一场无休止的战斗。被破坏之后,企业去收拾殘局,干苦差事,并承担责任。”

Radware安全解决方案副总裁Carl Herberger说,业务部门面临着巨大的压力,他们要采用新解决方案让产品及时面市,并降低成本。通常,安全是次要考虑。

Herberger说:“很多这些业务部门不具备评估安全要求的技能或者知识,他们会与供应商合作,而这些供应商可能会让公司网络暴露在攻击之下。”

集装箱保安公司Aqua Security的首席技术官Amir Jerbi指出,不管什么原因,如果一个企业让第三方进入到自己的网络中,该第三方将成为其安全周界的重要组成部分。因此,企业应该对其第三方的安全措施和做法进行审查,并确保他们的与自己的一致,更进一步,定期检查和测试这些做法,确定他们是否还合规。这些检查应覆盖系统、流程和人员。

Alertsec的首席执行官Ebba Blitz建议一定要让每个人都遵守您的规则。如果要求您自己的员工对硬盘全面加密,那么一定也要让第三方这样做。有太多的第三方从未知设备登录到您的网络——您无法管理也不能控制的设备,除非他们在您的网络中进行了注册。确保数据只传送给了加密设备——无论它们是否注册到您的IT基础架构中。

第三方风险管理

市场已经推出了第三方风险管理程序来解决这个难题。这样的程序会弄清楚第三方是在国内还是国外,使用企业发行的设备还是个人设备,已经进行了背景检查,以及他们是否为企业执行关键功能等。

Sungard Availability Services安全咨询经理Asher DeMetz指出:“当涉及到网络世界时,供应商必须证明他们理解安全,并制定了成熟的安全程序,包括政策和员工培训等。”连接到公司网络的任何第三方系统都应具备适当的业务功能,有相应的管理员,并符合公司自身的安全程序(安全、受监视、受控)。

DeMetz补充说:“应采用正确的安全控制和安全测试认证以及合规性检查对软件和硬件进行验证。如果第三方正在更改配置,则必须通过适当的变更管理渠道来确保他们符合安全程序,并且不会给环境带来风险。”

Bluelock工程总监Derek Brost说:“由于各种原因,涉及外部人员的风险管理是非常具有挑战性的工作。应考虑两个主要因素。首先,充分参与法律顾问的工作,以确保合同的责任、义务和行为准则。作为担保,如果出现问题,还应允许强制执行或者诉诸法律,以减少损失或者损害。其次,以认证管理、及时的活动分析,特别是审计审核的形式,不断的分配资源,对外部活动进行适当的管理和监督。”

Brost说,遗憾的是,企业通常借助第三方来降低成本或者“快速修复”,所以管理外部人员的预算可能不够,总成本也不一定支持提供足够的投资。然而,像所有风险管理活动一样,应把这些成本作为整体承担和潜在损失的一部分来提前考虑。

Coalfire总裁兼联合创始人Kennet Westby说,每家企业都应该有鲁棒的第三方供应商管理程序,用于支持对关键供应商所承诺服务的检验。供应商管理流程应能够检验您的供应商是否具有内部安全控制机制。如果您的供应商管理程序要求这些第三方以比内部控制更严格的标准来运行,那么您实际上能够比内部管控更有效地降低风险。

这就给我们带来了身份访问管理。正如SecZetta在博客文章中所解释的那样,大多数公司不会有人或者部门去负责管理非公司员工身份(人员数据)及其关系。IT可能会提供访问权限,但非公司员工变更后的第一次访问和管理将由人力资源部门或者采购部门负责。

这是一个挑战,特别是非公司员工比内部员工更容易获得敏感信息的情况下。如果允许一名非公司员工有九个月的时限访问这些敏感系统,但在六个月后提前完成了工作,那么非公司员工还会有三个月的时间可以访问敏感系统。据SecZetta,这正是黑客在尝试渗透系统和窃取数据时要寻找的账户类型。

Bay Dynamics的联合创始人兼首席技术官Ryan Stolte指出,应一直跟踪那些承担重要任务的人。不一定面面俱到,也不必为每一家供应商的每一个用户都提供安全保障,但安全部门必须非常注意那些访问公司最有价值的应用程序和系统的人员。

他说,有效的供应商风险管理流程首先要确定您最有价值的东西,如果这些受到损害,知道会对您的企业产生怎样的影响。然后,看看哪些供应商可以访问这些最有价值的东西,持续监控供应商用户的活动,以及他们的团队成员和所属集团的相关用户的活动。如果您的安全工具提示供应商用户有不正常行为,那么重要的是告知应用程序管理员现在出现了危险,要求管理员确定该行为是否正常,是不是符合业务要求。如果行为不正常,则应立即开展对这一威胁警报的调查。

他说:“要考虑到第三方供应商往往并非有意造成威胁,这一点非常重要。通常,供应商员工的网络安全意识赶不上全职员工,因此无意中会使您的公司面临风险。”

Viewpost的首席安全官Chris Pierson说,拥有完善的供应商核查程序是监督、量化、沟通和减轻风险的必要条件。这一程序应考虑供应商的公司使命、目标和目的,并提供审查流程,审查所有类型的风险——网络安全、隐私、法规/法律、财务、运营和声誉等。

然后应根据风险管控委员会批准的损害程度、社会化影响等因素对所有供应商风险进行打分,由负责产品/服务的业务线主管掌握打分结果。Pierson说:“根据他们提供的产品/服务的关键性以及风险来评估您的供应商,公司可以更全面地管理这些风险,申请减轻对供应商的控制,或者不再使用供应商。”

CrowdStrike产品管理副总裁Rod Murchison说,在安全方面,事后诸葛是不行的。他说:“每家企业都应该努力做到实时了解网络的安全状况,并一直保持下去。”

他补充说,为了减轻这类威胁,最复杂的端点安全解决方案可以实时感知和分析足够的数据,以确保实时观察到违规行为和入侵。这些新解决方案利用了机器学习、人工智能和分析技术的发展,因此企业能够很快观察到第三方无意或者故意留下的漏洞,并及时补上漏洞。

随着全球隐私法规政策的完善,例如,“一般数据保护条例(GDPR)”,要求在数据的整个生命周期中控制其使用,这一点显得非常重要。Focal Point Data Risk的数据隐私实践负责人Eric Dieterich说,强大的访问管理控制功能会有所帮助,但是通常需要进行数据屏蔽和匿名化处理,以便管理对关键数据域的访问。

有什么解决方案?

Axiomatics业务发展副总裁Gerry Gebel指出,应全面采用具有动态上下文环境访问控制功能的分层安全方法对第三方访问进行控制。例如,安全的第一层是动态地控制谁可以访问您的网络。一旦这些第三方出现在网络上,另一层就是控制对API、数据和其他资产的访问。

Caccia建议,第三方访问资产是行为分析的完美场景,在这种场景中,网络上用户的系统基本行为都是正常的,对这些用户到底是谁知之甚少。他说:“用户行为分析(UBA)应该是与合作伙伴广泛进行合作的任何公司必备的工具;这是理解和控制那些已经被删除的用户对您网络和数据做了什么的最好方法,也许是唯一的方法。”

Henderson建议公司一定要加强再加强供应商管理管控政策。这应包括对这些供应商进行定期和随机审核的政策。审核应能够返回可量化和可定义的指标。

另外,在和这些供应商制定并起草合同时,重要的是应该含有适当的内容,明确规定供应商的安全和隐私义务。

Henderson说:“把‘数据金丝雀插入到与第三方共享的记录集中,然后看看这些‘金丝雀是不是会出现在网上,我觉得这个主意不错。您会惊讶的发現,数据被频繁的泄漏到网上,出现在像pastebin这样的地方。关于这个问题,还有一点让我感到非常不安的是,一个非常简单的事实——我们所有的员工、资源、工具和技术常常被打败的原因,只不过是因为一些中层管理者把大量的客户数据放在电子表格中,然后通过电子邮件发送给与业务部门合作但以前不了解的第三方,目的是通过电子邮件开展营销活动。”

他建议,对于企业而言,一个重要的教训是一定不要让第三方访问网络的某些地方。他说:“对您的环境进行细分,采用其他工具让数据流不要混杂在一起,这样做可以阻止攻击者,或者至少减慢他们的攻击,为您的安全部门留出宝贵的时间来检测事件,并及时应对。”

AlienVault的安全主管Javvad Malik指出,虽然不能避免使用第三方,但是有很多基本的安全措施可以帮助减轻风险。这方面的例子包括:

了解您的资产——通过了解您的资产,特别是关键资产,可以更容易地确定第三方能够访问哪些系统,而哪些系统不能访问。

监视控制——通过有效的监控,确定第三方是否只访问他们能够访问的系统,而且是以允许的方式进行访问。行为监控可以在这方面发挥作用,突出显示哪些活动超出了正常参数范围。

隔离——通过隔离网络和资产,在某一特定区域可以有漏洞。

核查——主动的定期进行核查,确保所实施的安全控制正在按预期工作。

FireEye首席顾问Jeremy Koppen指出,应重视有关第三方访问的四个安全控制措施:

为每个供应商用户分配唯一的用户帐户,以便更好地监控每个帐户的活动,发现异常活动。

要求双重身份验证才能访问应用程序和资源,能够直接或者间接的访问内部网络。当供应商的用户身份被攻击时,这可以保护企业不受影响。

限制所有第三方帐户,只允许他们访问所需的系统和网络。

与第三方关系终止后,禁用环境中的所有帐户。

在企业应用开发环境中,Jerbi看到很多公司由于第三方使用虚拟容器等新技术导致无法进行防护。如果一家公司使用来自第三方的容器式应用程序,那么要针对该应用程序进行专门的容器安全风险审查,例如容器镜像中的漏洞、硬编码密钥和配置缺陷等。

Baker说,在选择供应商时,可以参考很多最佳实践:他们的安全透明程度高吗?他们是否有第三方安全测试?他们公布测试结果了吗?他说:“最终,只是选择安全供应商还无法防止类似Target的事件再次发生,但与您合作的第三方公司不会成为薄弱环节。”

猜你喜欢

供应商用户企业
企业
企业
企业
敢为人先的企业——超惠投不动产
关注用户
关注用户
关注用户
供应商汇总
供应商汇总
供应商汇总