大多数企业雇用第三方提供商填补房屋内部资源时。通常需要允许第三方供应商访问其网络。但是之后目标的网络被攻破了几年前,由于一家暖通空调供应商缺乏安全性,人们继续关注如何允许第三方访问网络而不造成安全漏洞。
使用第三方供应商的情况很普遍,与之相关的违规行为也很普遍。身份风险和生活方式解决方案提供商SecZetta声称,平均40%的劳动力是第三方。Soha Systems最近的一项调查显示,63%的数据泄露都是由第三方造成的。SecZetta的一篇博客写道:“越来越依赖第三方员工,加上黑客越来越老练,导致了目前大多数企业都面临的身份和访问管理危机——不管他们是否意识到这一点。”
瑞克caccia,cmo atExabeam他解释说,塔吉特的泄密事件让人们看到了信任合作伙伴带来的风险。一方面,他们经常能接触到公司环境中最敏感的数据和系统。另一方面,该公司对合作伙伴自身的安全流程知之甚少,也不真正了解合作伙伴的员工或他们的日常工作。
Bugcrowd的运营副总裁大卫·贝克说:“大多数公民社会组织遵循的经验法则是,只有在他们做得比你好时,你才会使用第三方。因此,无论是交付一个包还是管理您的数据中心,如果外包的第三方做得更好,那么使用它们是有意义的。雷竞技电脑网站这也涉及到安全问题。”
例如,大量组织已经将他们的数据中心外包给亚马逊Web服务(AWS),不仅是因为建立在AWS上的技术的功能比组织可以自己实现的,而且因为雷竞技电脑网站所提供的安全性更好他说,公司可以自我建立。
“如果你使用第三方,并希望避免类似塔吉特事件的发生,你需要有一个选择第三方的流程,其中很大一部分标准应该是安全。安全必须是你可以衡量他们做得比你更好的东西,”贝克说。
Agari的首席科学家Markus Jakobsson表示,与第三方供应商合作的一大缺点是对安全失去控制。“每家供应商不仅为网络犯罪分子提供了进入组织网络的新入口,还意味着该供应商的每一位员工现在都是破坏你品牌的潜在目标。”不幸的是,确保你的公司不暴露在更大风险中的唯一方法是把一切都留在公司内部。但在今天的数字世界,这不是现实。”
Mike McKee, ObserveIT的首席执行官,表示,缺乏对第三方提供商的用户在做什么 - 意外或有意的可见性 - 这是一种巨大的安全风险。
他说:“每个组织都必须确保它已经确定了能够访问系统和数据的外部方,并有安全的程序,严格的政策供这些用户遵循,并有有效的技术来监控和检测第三方是否将其组织置于危险之中。”
Verint Systems负责网络产品管理和业务开发的副总裁Yitzhak Vager表示,正是做生意的成本让你的网络容易受到第三方的攻击。制造商直接与供应商连接以管理准时制生产。会计部门连接到外部发票和收据系统,营销团队给所有类型的自动化解决方案访问网络基础设施。
“组织需要假设他们已经被第三方破坏了,在你的网络上留下了一个漏洞,因此他们需要转向检测和响应区域解决方案,考虑全局,通过检测整个网络、端点和有效负载来提供完整的可见性。”
Absolute全球安全策略师理查德•亨德森(Richard Henderson)对此表示赞同。“在大多数情况下,公司没有办法知道这些合作伙伴是否有漏洞或成为攻击的对象。此外,监管机构(和客户)真的不在乎是否有其他人对此负责,这似乎是一场无法取胜的战斗。损害造成后,各组织会收拾残局,承担责任。”
Radware安全解决方案副总裁Carl Herberger表示,业务部门受到很大的压力,以利用新的解决方案来加速上市时间并降低成本。通常,安全性是次要考虑因素。
Herberger说:“这些业务团队的大部分业务团队没有技能或知识可以评估安全要求,并且可以与可能将公司网络开放到攻击的供应商合作。”
集装箱安全公司Aqua security的首席技术官Amir Jerbi指出,如果一家企业允许第三方进入其网络,无论出于什么原因,该第三方都将成为其安全边界的重要组成部分。因此,组织应该审查第三方的安全措施和实践,并确保它们与自己的一致,此外,定期检查和测试这些实践,以验证它们仍然符合要求。这些检查可能(也应该)涵盖系统、流程和人员。”
Alertsec首席执行官埃巴•布里茨建议,确保每个人都按你的规则行事。如果您自己的员工强制执行完整的磁盘加密,请确保您的第三方也这样做。“太多的第三方从未知设备登录到你的网络——这些设备不是你管理和控制的,除非他们已经注册到你的网络中。确保数据只流向加密设备,不管它们是否注册在你的IT基础设施中。”
第三方风险管理
为了解决这一难题,市场已经推出了第三方风险管理项目。类似这样的程序可以判断第三方是位于离岸还是在岸,使用的是公司发行的设备还是个人设备,是否进行了背景调查,以及他们是否将为该组织执行关键功能。
“当涉及到网络世界时,供应商必须证明他们了解安全性,并拥有成熟的安全计划,包括政策和员工培训,”SunGard可用性服务的经理 - 安全咨询“连接到公司网络的任何第三方系统都需要拥有适当的业务职能和所有者,并与公司自己的安全计划保持一致(安全,监控,受控)。
“需要使用正确的安全控制和证明安全测试,并且可能是合规性的软件或硬件。如果第三方正在进行配置更改,则必须通过适当的变更管理渠道来确保它们对齐安全计划并不会将风险引入环境,“Demetz添加。
Bluelock Brost表示,由于各种原因,涉及外部演员的风险管理可能是一个非常具有挑战性的活动。“有两个主要因素供考虑。首先,足以涉及法律顾问,以确保合同指定责任,勤奋和适当照顾。作为一个反向杆,这也应该允许有关的执法或诉讼与回收损失或损坏有关,如果事情变得Awry。其次,正在分配持续的资源,以便适当控制和监督身份验证管理的形式,及时的活动分析,特别是审计审查。“
Brost说,不幸的是,企业通常需要第三方来降低成本或“快速修复”,因此适当的投资水平可能不会被考虑到预算或管理外部参与者的总体成本中。然而,就像所有的风险管理活动一样,这些成本需要预先考虑作为整体容忍度和潜在损失的一部分。
Coalfire的总裁兼联合创始人肯尼特·韦斯特比(Kennet Westby)说,每个组织都应该有一个强大的第三方供应商管理程序,以支持关键供应商交付他们承诺的服务的验证。供应商管理过程的一部分应该是验证您的供应商是否有内部安全控制。如果您的供应商管理程序要求这些第三方在比内部控制更大的标准下操作,那么实际上您可以比内部管理更有效地降低风险。
这就把我们带到了身份访问管理.正如SecZetta在一篇博文中解释的那样,在大多数公司中,没有人或部门负责管理非员工身份(人的数据)及其关系。IT可能提供访问,但非员工变更的初始访问和管理由HR或采购负责。
这是一项挑战,特别是在非员工比内部员工更广泛地访问敏感信息的情况下。如果非员工获得对九个月期间的这些敏感系统,但在六个月后完成工作,则有三个月的非员工仍可获得敏感系统。根据SECZETTA的说法,这些是黑客在尝试穿透系统和窃取数据时的账户类型。
Bay Dynamics联合创始人兼首席技术官瑞安·斯托尔特(Ryan Stolte)表示,跟踪谁在做什么是一项艰巨的任务。“安全团队必须关注那些访问公司最有价值的应用程序和系统的用户,而不是试图煮沸海洋,密切关注每个供应商的每个用户。”
瑞安·斯托尔特,海湾动力公司的联合创始人兼首席技术官
他说,有效的供应商风险管理首先要确定你的“皇冠宝石”,以及如果这些“皇冠宝石”受到损害,对组织的影响。然后,查看哪些供应商可以访问这些“皇冠宝石”,并持续监控供应商用户的活动,以及他们的团队成员和更大团队中的其他用户。如果您的安全工具标记了来自供应商用户的不寻常行为,那么重要的是让管理风险应用程序的应用程序所有者参与进来,要求所有者对行为是否不寻常或业务合理进行限定。如果行为异常,威胁警报应该放在调查堆的最上面。
“重要的是要考虑到第三方供应商通常是非恶意的威胁。通常情况下,供应商员工在网络安全卫生方面的意识不如全职员工,因此无意中将你的公司暴露在风险之下。”
Viewpost的CSO Chris Pierson说,有一个完善的供应商保证计划对监督、量化、沟通和降低风险是必要的。该计划应考虑公司对供应商的使命、目标和目标,并提供审查程序,审查所有类型的风险——网络安全、隐私、监管/法律、财务、运营和声誉。
所有供应商风险应由负责商品/服务的商业线路行政机关,并取决于治理风险委员会的危害水平,社会化甚至批准。“通过根据他们提供的产品/服务的关键性和风险的关键性评级您的供应商,公司可以更充分地管理这些风险,请求减轻控制或供应商的外壳,”Pierson说。
CrowdStrike产品管理副总裁罗德·默奇森(Rod Murchison)表示,在安全问题上,只有事后了解是不够的。他说:“网络安全态势的实时可见性是每个组织都应该努力实现并保持前进的目标。”
为了减轻这些类型的威胁,最复杂的终端安全解决方案可以实时感知和分析足够的数据,以确保实时观察到入侵和入侵,他补充说。“这些新的解决方案利用了机器学习、人工智能和分析技术的进步,因此组织可以迅速观察并填补第三方组织无意或有意留下的漏洞。”
随着《通用数据保护条例》(General Data Protection Regulation, GDPR)等全球隐私法规的不断发展,控制数据在其整个生命周期的使用的能力将变得至关重要。Focal Point data Risk数据隐私实践负责人Eric Dieterich表示,强大的访问管理控制可能会有所帮助,但通常需要实施数据屏蔽和匿名化来管理对关键数据字段的访问。