供應鏈安全中的5個最弱環節
針對第三方攻擊已成為網路犯罪分子攻擊活動中最薄弱的環節。BestBuy、Sears、Delta、NYU Medical Center等單位都受到第三方廠商網路攻擊帶來的影響。這些資料洩露使企業付出的代價很大,平均每個事件企業需要支付123萬美元,與2017年相比,上漲24%。
在針對攻擊鏈的網路攻擊中,問題的主要來源包括從共享憑證到共享基礎設施的各類必須的共享形式。
No. 1: 共享憑證
企業與第三方廠商共享憑證看似是無害的,但其實是一種非常可怕的行為,比如Target被攻破就是通過空調廠商。因為當與供應商共享敏感憑證時,就為潛在的攻擊打開了大門。大多數的企業都有位於不同地域的成百上千的供應商,增加的風險是指數級的。
這給我們的啟示是在與第三方共享憑證之前要確保經過嚴格的審查程式。
No. 2: 共享資料
共享資料是另一個關鍵的弱點。企業會與廠商共享一些高度敏感和機密的內容,比如客戶資料。這些廠商可能會與更多安全性未知的廠商共享資料。
Experian資料洩露事件共洩露了上百萬美國個人資料,還有申請T-Mobile服務的1500萬客戶資料。雖然Experian是主要攻擊目標,但T-Mobile也蒙受了巨大的損失。
No. 3: 共享程式碼或應用
Ticketmaster在Inbenta上出現了這樣的錯誤,Inbenta是為Ticketmaster客戶支援產品提供服務的第三方供應商。作為這一過程的一部分,Ticketmaster會收到定製的JS程式碼,黑客通過Inbenta獲取了JS程式碼的訪問許可權,然後將其修改為惡意程式碼。企業與第三方供應商共享的每行程式碼或應用都可能是一種潛在的攻擊方式。
No. 4: 共享網路
與其他公司的聯絡對企業來說是一件大好事,但這種特殊型別的合作也充滿了風險。可以試想WannaCry勒索軟體能夠在世界各地的公司之間傳播的場景。對於那些只能使用這種連線方式的IT團隊,必須縮小共享連線的廠商數量,建立更嚴格的許可權並監控他們。
No. 5:共享基礎設施
共享基礎設施帶來的問題可能會通過停止連續運作等方式對企業造成直接的打擊。例如,提供零售基礎設施的供應商突然停止或中斷服務,那麼公司馬上就無法處理交易。這樣,客戶就會選擇公司的競爭對手。
如何緩解供應鏈風險?
減少與第三方供應商相關的安全風險的第一步是制定數字供應商風險管理計劃,其中包括規則、程式和嚴格的審查程式。審查程式不能只是一個單純的問卷調查,必須包含業務關係的背景和風險級別。自動化是這些流程的關鍵,因此公司每天可能會擴充套件成百上千的供應商。
請外部公司來持續監控第三方供應商的網路狀況,確保其與評估機構接受的安全風險水平相當。還應當有一種提醒評估組織違規的方法,這樣就可以與供應商合作,以糾正和改善其安全狀況。通過這些流程,可以顯著改善整個數字生態系統。