去年12月,威瑞森公司(Verizon)因被曝有30万客户记录被黑客窃取并发布到互联网上而成为头条新闻。
调查后违反威瑞森宣布,该公司的所有系统都没有被攻破,没有未经授权的人获得了访问其服务器的root权限,而且由于许多信息已经过时,受影响的客户数量只是报告的一小部分。
[也:最严重的数据泄露]
它还注意到了其他一些东西。这些数据是从一家第三方营销公司窃取的,该公司是Verizon供应链的一部分。
公司供应链对黑客的吸引力正在增长,并表示采访的安全专家方案信息安全论坛(ISF)首席执行官迈克尔•德•克雷斯皮尼表示:“这是一个黑客找到最薄弱环节并破门而入的案例。”ISF是一个专注于网络安全问题和信息风险管理的国际协会。
“犯罪分子将供应链视为获取信息的一种手段,否则,他们无法从一个运作熟练、安全可靠的大型全球组织获得信息,”德克雷斯皮尼补充说。
在一个周二发布的报告ISF指出,尽管与供应商共享信息对供应链的运作至关重要,但它也会带来风险。报告指出:“在所有供应链风险中,信息风险管理得最差。”
当涉及到信息风险时,大多数组织关注的是供应商的一小部分,通常是基于合同的大小。这种方法存在三个问题:
- 有风险的合同,比如法律服务协议,可以被忽略。
- 对于有许多小合同的组织来说,这种方法是不可扩展的。
- 它只触及一个风险层次——最初的供应商——而不是其他构成风险的人,比如供应商的供应商。
蓝外套系统公司(Blue Coat Systems)高级副总裁兼首席安全策略师休·汤普森(Hugh Thompson)解释说,发起有针对性攻击的黑客总是在寻找组织防御的最薄弱之处。
[也看到:大多数公司在供应链风险管理方面滞后]
“有时最薄弱的环节是公司的员工,”汤普森说。“其他时候它是供应商的IT系统。”。
“这就是为什么供应链安全现在是一个热门话题,”他补充说。“对许多大公司来说,这可能是最薄弱的环节。”
他继续说,企业面临的风险不仅出现在公司认识的供应商身上,也出现在公司可能没有意识到的供应商身上。汤普森说:“不知名的供应商越来越多。”“企业使用的这些服务和技术从未得到IT部门的批准。”
例如,流行的跨平台信息管理程序Evernote被许多组织的员工所使用,但它是不受IT部门注意的。
办公室工作人员把各种各样的信息储存在程序中,毫无疑问,其中一些信息对他们的雇主来说是敏感的。这样的账户会给组织带来信息风险,而组织本身并不知道。
汤普森解释说:“员工和小团队使用的这些商业/消费者技术越来越多,使他们成为不知名的供应商。”“如果你是一名攻击者,你可能会想要攻击那些可能保存公司数据的消费者服务,而不是直接攻击一家公司。”
雅典州奥尔森副总裁的叙利亚副总裁据Torsten George表示,公司正越来越了解供应商风险和采取措施来评估供应商的安全概况。
“乔治指出,这一实践在过去12个月内增加了。“我们几乎每周收到这些供应商风险评估调查。他们从180到600个问题的任何地方都在任何地方。”
“这些调查让这些公司安心了一点,”他说。“但这并不能保证更高的安全级别,尤其是当供应商稍微夸大事实的时候。”
这个故事,“供应链为黑客的新诱人的吸引力”最初发表于方案 .