如今,随着目标的水漲船高,很多企業擔心第三方提供商無法獲得内部系統的安全性。大多數企業在缺乏内部資源時通常與第三方合作供應商進行合作。通常有必要允許第三方供應商通路其網絡。但是幾年前,由于hvac供應商缺乏安全性,美國最大的零售商之一target(塔吉特)公司的網絡遭到破壞,是以企業的重點仍然是在沒有安全漏洞的情況下,允許第三方軟體通路網絡。
使用第三方提供商的服務是普遍的,因為違規行為與之相關。識别風險和生活方式解決方案提供商seczetta公司聲稱,平均而言,40%的員工采用第三方服務。soha系統公司最近進行的一項調查顯示,63%的資料洩露可歸因于第三方。seczetta公司在部落格文章表示:“如今,公司員工對于第三方的服務越來越依賴,加上黑客日益複雜化,導緻了目前身份和通路管理的危機,大多數企業今天面臨的就是這種現狀,無論其是否意識到這一點。”
大資料安全分析商exabeam公司的首席營銷官rick caccia解釋說,target公司的違規行為揭示了信任合作夥伴帶來的風險。一方面,第三方公司通常可以通路target公司環境中最敏感的資料和系統。另一方面,該公司對合作夥伴自身的安全流程幾乎沒有洞察,并不真正了解合作夥伴的員工或其慣例。
bugcrowd公司業務副總裁davidbaker表示:“大多數公民社會組織生活的經驗法則是,如果他們做的更好,那麼你隻能使用第三方服務,是以無論是外包還是管理資料中心,如果外包的第三方做得更好,使用它們就有道理,是以這個想法擴充到安全性。”
例如,許多組織将其資料中心外包給亞馬遜網絡服務(aws),這不僅是因為在aws公司在技術和功能比那些組織自己實作的更好,而且還因為aws公司提供的安全措施比這公司要更多。
“如果你使用第三方的服務,并希望避免發生類似target公司的情況,那麼就需要有一個選擇這些第三方的過程,并且該标準的很大一部分應該是安全性。”baker說:“在安全方面衡量,就是他們必須做得比你還要好。”
agari公司首席科學家markus jakobsson表示,與第三方供應商合作的主要缺點是失去對安全性的控制。“每個供應商不僅在網絡犯罪分子的網絡中創造了一個新的入口點,而且還意味着該供應商的每個員工現在都是違規的潛在目标,不幸的是,確定企業業務的唯一方法是通過内部保留一切,才可能不會面臨更大的風險。但在當今的數字世界中,這并不現實。”
observeit公司首席執行官mikemckee表示,缺乏對第三方提供商使用者的的了解,無論是有意或無意的,這都是一個巨大的安全風險。
“每個組織都必須確定其已經确定了外部各方可以通路系統和資料,并制定了安全的程式,這些使用者遵循的嚴格政策,以及有效的技術來監測和檢測第三方是否将組織置于風險。”他說。
verint系統公司網絡産品管理和業務發展副總裁yitzhak vager表示,正在開展業務的成本使企業的網絡容易受到第三方的傷害。制造商直接連接配接到供應商來管理即時生産。會計部門連接配接到外部發票和收據系統,營銷團隊已經提供所有類型的自動化解決方案通路網絡基礎設施。
他說,“組織需要假設他們已經被第三方破壞,在網絡中留下了一個漏洞,是以他們需要轉移到考慮到大局的檢測和響應區域解決方案,通過檢測整個網絡提供完整的可見性,端點和有效載荷。”
absolute公司全球安全政策師理查德·亨德森認為。“在大多數情況下,企業将無法了解這些合作夥伴是否有違規行為或是遭受攻擊的犧牲品。此外,監管機構(和客戶)真的不在乎别人的責任,這似乎是一個無法取勝的戰鬥。并在遭到破壞後,組織離開收拾殘局,并追究責任。”
radware安全解決方案副總裁carl herberger表示,業務部門面臨着巨大的壓力,需要利用新的解決方案來加快上市時間,并降低成本。通常,安全性是次要考慮。
herberger說:“大多數這些業務團隊沒有足夠的技能或知識來評估安全性要求,并可能導緻與供應商合作,而這些供應商可能會讓企業的網絡受到攻擊。”
安全提供商aqua公司的首席技術官amir jerbi表示:如果一個企業與第三方合作,不管原因如何,這個第三方将成為其安全邊界的重要組成部分。“是以,組織應該對其第三方的安全措施和做法進行審查,并確定它們的做法與自己的一緻,并定期檢查和測試這些做法,以驗證其是否仍然遵守。這些檢查可能(并且應該)涵蓋公司的系統,過程和人員。”
alertsec公司首席執行官ebba blitz建議企業確定每個員工都遵守其規則。如果為自己的員工授權完全磁盤加密,請確定其第三方也執行相同操作。“很多第三方從未知裝置登入到你的網絡,以及你沒有管理和無法控制的裝置,除非他們在您的網絡中注冊,無論它們是否注冊到it基礎架構中,都要確定資料隻流向加密裝置。”
第三方風險管理
目前在市場已經推出了第三方風險管理計劃來應對這個困境。這樣的程式會告訴第三方是否位于離岸或陸上,是使用企業發行的裝置還是個人裝置,是否已進行背景檢查,以及是否對組織執行關鍵功能等。
sungard公司可用性服務安全咨詢經理asher demetz指出:“談到網絡世界,供應商必須證明他們了解安全性,并制定一個成熟的安全計劃,包括政策和員工教育訓練。而連接配接到該公司網絡的任何第三方系統都需要具有适當的業務功能和所有者,并符合該公司自身的安全計劃(安全,監控,控制)。
軟體或硬體需要通過正确的安全控制和安全測試的認證以及可能的合規性進行驗證。如果第三方正在進行配置更改,則必須通過适當的變更管理管道來確定其符合安全計劃,并且不會對環境造成風險。“demetz補充說。
bluelock工程總監derek brost說,由于各種原因,涉及外部行為者的風險管理可能是一個非常具有挑戰性的活動。“主要考慮兩個因素。首先,充分涉及法律顧問,以確定企業具有責任,勤勉和适當的關心。作為支援者,如果出現問題,還應允許執行或訴訟與回收損失或損害有關。二是以認證管理,及時的活動分析,特别是審計稽核的形式,不斷配置設定的資源,對外部活動進行适當的管理和監督。”
brost表示,不幸的是,企業通常涉及第三方降低成本或“快速修複”,是以在管理外部行為者的預算或總體成本中可能不會考慮足夠的投資水準。然而,像所有風險管理活動一樣,這些成本需要作為整體容忍度和損失潛力的一部分來考慮。
coalfire公司總裁兼聯合創始人kennet westby表示,每個組織都應該有一個強大的第三方供應商管理程式,用于支援關鍵供應商提供承諾服務的驗證。供應商管理流程的一部分應該是驗證企業的供應商是否具有内部安全控制。如果其供應商管理程式要求這些第三方以比内部控制更高的标準運作,那麼實際上可以比内部管理更有效地降低風險。
這使人們進入身份通路管理。正如seczetta公司在部落格文章中所解釋的那樣,大多數公司沒有任何人員或部門負責管理非員工身份(人員資料)及其關系。it部門可能會提供通路權限,但非員工變更的初始通路和管理将由人力資源部門或采購部門負責。
這是一個挑戰,特别是在非内部員工比内部員工更容易獲得敏感資訊的情況下。如果一名非雇員被允許通路這些敏感系統提供九個月的期限,但在六個月後提前完成工作,則有三個月的時間,非内部員工仍然可以使用敏感系統。根據sec zetta公司的說法,這些正是黑客在嘗試滲透系統和竊取資料時所尋求的類型。
bay dynamics公司聯合創始人兼首席技術官ryan stolte表示,跟蹤誰在做什麼是艱巨的任務。“安全團隊不必試圖讓人人皆危,而是為每一個供應商的每一個使用者提供安全保障,安全團隊必須對那些通路企業最有價值的應用程式和系統的人員進行磨練。”
他說,有效的供應商風險管理從識别企業的核心業務以及對企業的影響開始。然後,看看哪些廠商可以通路這些核心業務,不僅可以監控供應商使用者的活動,還可以監控他們的團隊成員和更大群體中的其他使用者。如果企業的安全工具标示來自供應商使用者的不尋常行為,則重要的是讓管理應用程式的應用程式所有者處于風險之中,要求所有者确定該行為是不尋常的還是合理的業務。如果行為不尋常,則該威脅警報應該轉到調查堆棧的頂部。
他說:“重要的是要考慮到第三方供應商往往是非惡意的威脅。通常,供應商的員工對網絡安全衛生的員工的意識不足,是以無意中會使企業面臨風險。”
viewpost的首席安全官chris pierson表示,擁有完善的供應商保證計劃是監督,量化,溝通和減輕風險的必要條件。該計劃應考慮供應商的公司使命和目标,并提供審查流程,審查所有類型的風險,其中包括網絡安全,隐私,法規/法律,财務,營運和聲譽。
所有供應商的風險都應該由負責産品/服務的業務線主管所擁有。pierson說,“根據他們提供的産品/服務的關鍵性以及風險評估企業的供應商,企業可以更充分地管理這些風險,請求減輕控制或者脫離供應商。”
crowd strike公司産品管理副總裁rod murchison表示,在安全方面,事件發生後具有知識淵博是不夠的。他說:“每個組織都需要實時了解網絡的安全狀況,應該努力實作和保持前進。”
為了減輕這些類型的威脅,最複雜的端點安全解決方案可以實時感覺和分析足夠的資料,以確定實時觀察到違規和入侵。“這些新的解決方案利用了機器學習,人工智能和分析方面的技術進步,是以組織可以快速觀察和填補第三方組織遺漏的(無意或故意的)漏洞。”
随着全球隐私法規的日益增長,如“一般資料保護條例”(gdpr),在整個生命周期中控制資料使用的能力将至關重要。focalpoint公司資料風險的資料隐私實踐負責人eric dieterich說,強大的通路管理控制可以提供幫助,但是通常需要實施資料掩蔽和匿名化來管理關鍵資料領域的通路。
有什麼解決方案?
axiomatics公司業務發展副總裁gerry geble表示,第三方通路需要采用分層安全方法,采用動态背景通路控制。例如,一層安全性是動态地控制誰可以通路企業的網絡。一旦這些第三方在網絡上,另一層就是控制對api,資料和其他資産的通路。
caccia建議,第三方通路資産是行為分析的完美場景,系統基于網絡上使用者的正常行為,即使對使用者實際知之甚少。“使用者行為分析(uba)應該是與合作夥伴廣泛合作的任何公司的表格賭注;他說,這是了解和控制曾經被移除的使用者在企業絡和資料中所做的最好的方法。
henderson建議企業加強供應商管理的治理政策得到加強。這應包括關于這些供應商的定期和随機稽核的政策。這些審計應該具有傳回量化和可定義度量的能力。
另外在制定和起草這些供應商的合同時,重要的是适當的部分明确規定了包括供應商期望的安全性和隐私義務。
“我喜歡将一些資料插入到與第三方共享的記錄集中,然後觀看那些資料轉儲上網。你會驚訝于資料洩漏到網絡上并出現在像pastebin這樣的地方。”henderson說。“其他讓我對這個問題感到緊張的事情,這完全是一個事實,即所有的員工,資源,工具和技術常常被打敗,隻不過是一些中層管理者把大量的客戶資料記載在電子表格中,然後發送通過電子郵件發送給業務部門承包的一些以前未知的第三方,以運作批量電子郵件活動。”
他建議,對于其他企業而言,重要的一個教訓是確定第三方無法達到網絡的這些部分。企業環境的微分割,以及許多其他旨在保持流量共同作用的工具,可以停止或至少減緩攻擊者的速度,為企業的安全團隊提供寶貴的時間來檢測和應對事件。”他說。
雖然不可能避免第三方,alien vault公司的安全倡導者javvad malik表示,有許多基本的安全措施可以幫助減輕風險。這方面的例子包括:
·了解自己的資産-通過了解企業的資産,特别是關鍵資産,可以更容易地确定哪些系統第三方應該通路哪些系統并限制通路這些資産。
·監控控制-有效監控,以确定第三方是否隻能通路他們應該和以某種方式應用的系統。行為監測可以通過顯示這方面在正常參數之外的突出活動的位置。
·隔離-通過隔離網絡和資産,可以包含任何違規行為。
·保證-積極尋求定期確定安全控制實施工作的預期。
fireeye公司主要顧問jeremy koppen表示,應該讨論有關第三方通路的四個安全控制措施:
·為每個供應商使用者配置設定唯一的使用者帳戶,以更好地監控每個帳戶,并識别異常活動。
·需要雙因素認證來通路可以直接或間接通路内部網絡的應用程式和資源。這可以保護組織,防止供應商的使用者憑據受到損害。
·限制所有第三方帳戶,隻允許通路所需的系統和網絡。
·終止第三方關系後,禁用環境中的所有帳戶。
在企業應用程式開發世界中,jerbi認為許多公司被第三方使用虛拟容器等新興技術所掩蓋。如果一家公司正在使用來自第三方的容器化應用程式,則該應用程式應該針對特定于容器的安全風險進行審查,例如容器映像中的漏洞,寫死的秘密和配置缺陷。
baker說,選擇供應商時有很多最佳做法:他們的安全性是多麼透明?他們是否有第三方安全測試?他們分享了測試的結果嗎?他說:“最終,選擇安全的供應商并不一定會阻止公司成為另一個目标,但它會阻止你所合作的第三方公司成為薄弱環節。”
本文轉自d1net(轉載)
![Web 開發常見安全問題[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)