如今,随着目标的水涨船高,很多企业担心第三方提供商无法获得内部系统的安全性。大多数企业在缺乏内部资源时通常与第三方合作供应商进行合作。通常有必要允许第三方供应商访问其网络。但是几年前,由于HVAC供应商缺乏安全性,美国最大的零售商之一Target(塔吉特)公司的网络遭到破坏,因此企业的重点仍然是在没有安全漏洞的情况下,允许第三方软件访问网络。
使用第三方提供商的服务是普遍的,因为违规行为与之相关。识别风险和生活方式解决方案提供商SecZetta公司声称,平均而言,40%的员工采用第三方服务。Soha系统公司最近进行的一项调查显示,63%的数据泄露可归因于第三方。SecZetta公司在博客文章表示:“如今,公司员工对于第三方的服务越来越依赖,加上黑客日益复杂化,导致了目前身份和访问管理的危机,大多数企业今天面临的就是这种现状,无论其是否意识到这一点。”
大数据安全分析商Exabeam公司的首席营销官Rick Caccia解释说,Target公司的违规行为揭示了信任合作伙伴带来的风险。一方面,第三方公司通常可以访问Target公司环境中最敏感的数据和系统。另一方面,该公司对合作伙伴自身的安全流程几乎没有洞察,并不真正了解合作伙伴的员工或其惯例。
Bugcrowd公司业务副总裁DavidBaker表示:“大多数公民社会组织生活的经验法则是,如果他们做的更好,那么你只能使用第三方服务,所以无论是外包还是管理数据中心,如果外包的第三方做得更好,使用它们就有道理,因此这个想法扩展到安全性。”
例如,许多组织将其数据中心外包给亚马逊网络服务(AWS),这不仅是因为在AWS公司在技术和功能比那些组织自己实现的更好,而且还因为AWS公司提供的安全措施比这公司要更多。
“如果你使用第三方的服务,并希望避免发生类似Target公司的情况,那么就需要有一个选择这些第三方的过程,并且该标准的很大一部分应该是安全性。”Baker说:“在安全方面衡量,就是他们必须做得比你还要好。”
Agari公司首席科学家Markus Jakobsson表示,与第三方供应商合作的主要缺点是失去对安全性的控制。“每个供应商不仅在网络犯罪分子的网络中创造了一个新的入口点,而且还意味着该供应商的每个员工现在都是违规的潜在目标,不幸的是,确保企业业务的唯一方法是通过内部保留一切,才可能不会面临更大的风险。但在当今的数字世界中,这并不现实。”
ObserveIT公司首席执行官MikeMcKee表示,缺乏对第三方提供商用户的的了解,无论是有意或无意的,这都是一个巨大的安全风险。
“每个组织都必须确保其已经确定了外部各方可以访问系统和数据,并制定了安全的程序,这些用户遵循的严格政策,以及有效的技术来监测和检测第三方是否将组织置于风险。”他说。
Verint系统公司网络产品管理和业务发展副总裁Yitzhak Vager表示,正在开展业务的成本使企业的网络容易受到第三方的伤害。制造商直接连接到供应商来管理即时生产。会计部门连接到外部发票和收据系统,营销团队已经提供所有类型的自动化解决方案访问网络基础设施。
他说,“组织需要假设他们已经被第三方破坏,在网络中留下了一个漏洞,因此他们需要转移到考虑到大局的检测和响应区域解决方案,通过检测整个网络提供完整的可见性,端点和有效载荷。”
Absolute公司全球安全策略师理查德·亨德森认为。“在大多数情况下,企业将无法了解这些合作伙伴是否有违规行为或是遭受攻击的牺牲品。此外,监管机构(和客户)真的不在乎别人的责任,这似乎是一个无法取胜的战斗。并在遭到破坏后,组织离开收拾残局,并追究责任。”
Radware安全解决方案副总裁Carl Herberger表示,业务部门面临着巨大的压力,需要利用新的解决方案来加快上市时间,并降低成本。通常,安全性是次要考虑。
Herberger说:“大多数这些业务团队没有足够的技能或知识来评估安全性要求,并可能导致与供应商合作,而这些供应商可能会让企业的网络受到攻击。”
安全提供商Aqua公司的首席技术官Amir Jerbi表示:如果一个企业与第三方合作,不管原因如何,这个第三方将成为其安全边界的重要组成部分。“因此,组织应该对其第三方的安全措施和做法进行审查,并确保它们的做法与自己的一致,并定期检查和测试这些做法,以验证其是否仍然遵守。这些检查可能(并且应该)涵盖公司的系统,过程和人员。”
Alertsec公司首席执行官Ebba Blitz建议企业确保每个员工都遵守其规则。如果为自己的员工授权完全磁盘加密,请确保其第三方也执行相同操作。“很多第三方从未知设备登录到你的网络,以及你没有管理和无法控制的设备,除非他们在您的网络中注册,无论它们是否注册到IT基础架构中,都要确保数据只流向加密设备。”
第三方风险管理
目前在市场已经推出了第三方风险管理计划来应对这个困境。这样的程序会告诉第三方是否位于离岸或陆上,是使用企业发行的设备还是个人设备,是否已进行后台检查,以及是否对组织执行关键功能等。
Sungard公司可用性服务安全咨询经理Asher DeMetz指出:“谈到网络世界,供应商必须证明他们了解安全性,并制定一个成熟的安全计划,包括政策和员工培训。而连接到该公司网络的任何第三方系统都需要具有适当的业务功能和所有者,并符合该公司自身的安全计划(安全,监控,控制)。
软件或硬件需要通过正确的安全控制和安全测试的认证以及可能的合规性进行验证。如果第三方正在进行配置更改,则必须通过适当的变更管理渠道来确保其符合安全计划,并且不会对环境造成风险。“DeMetz补充说。
Bluelock工程总监Derek Brost说,由于各种原因,涉及外部行为者的风险管理可能是一个非常具有挑战性的活动。“主要考虑两个因素。首先,充分涉及法律顾问,以确保企业具有责任,勤勉和适当的关心。作为支持者,如果出现问题,还应允许执行或诉讼与回收损失或损害有关。二是以认证管理,及时的活动分析,特别是审计审核的形式,不断分配的资源,对外部活动进行适当的管理和监督。”
Brost表示,不幸的是,企业通常涉及第三方降低成本或“快速修复”,所以在管理外部行为者的预算或总体成本中可能不会考虑足够的投资水平。然而,像所有风险管理活动一样,这些成本需要作为整体容忍度和损失潜力的一部分来考虑。
Coalfire公司总裁兼联合创始人Kennet Westby表示,每个组织都应该有一个强大的第三方供应商管理程序,用于支持关键供应商提供承诺服务的验证。供应商管理流程的一部分应该是验证企业的供应商是否具有内部安全控制。如果其供应商管理程序要求这些第三方以比内部控制更高的标准运行,那么实际上可以比内部管理更有效地降低风险。
这使人们进入身份访问管理。正如SecZetta公司在博客文章中所解释的那样,大多数公司没有任何人员或部门负责管理非员工身份(人员数据)及其关系。IT部门可能会提供访问权限,但非员工变更的初始访问和管理将由人力资源部门或采购部门负责。
这是一个挑战,特别是在非内部员工比内部员工更容易获得敏感信息的情况下。如果一名非雇员被允许访问这些敏感系统提供九个月的期限,但在六个月后提前完成工作,则有三个月的时间,非内部员工仍然可以使用敏感系统。根据Sec Zetta公司的说法,这些正是黑客在尝试渗透系统和窃取数据时所寻求的类型。
Bay Dynamics公司联合创始人兼首席技术官Ryan Stolte表示,跟踪谁在做什么是艰巨的任务。“安全团队不必试图让人人皆危,而是为每一个供应商的每一个用户提供安全保障,安全团队必须对那些访问企业最有价值的应用程序和系统的人员进行磨练。”
他说,有效的供应商风险管理从识别企业的核心业务以及对企业的影响开始。然后,看看哪些厂商可以访问这些核心业务,不仅可以监控供应商用户的活动,还可以监控他们的团队成员和更大群体中的其他用户。如果企业的安全工具标示来自供应商用户的不寻常行为,则重要的是让管理应用程序的应用程序所有者处于风险之中,要求所有者确定该行为是不寻常的还是合理的业务。如果行为不寻常,则该威胁警报应该转到调查堆栈的顶部。
他说:“重要的是要考虑到第三方供应商往往是非恶意的威胁。通常,供应商的员工对网络安全卫生的员工的意识不足,因此无意中会使企业面临风险。”
Viewpost的首席安全官Chris Pierson表示,拥有完善的供应商保证计划是监督,量化,沟通和减轻风险的必要条件。该计划应考虑供应商的公司使命和目标,并提供审查流程,审查所有类型的风险,其中包括网络安全,隐私,法规/法律,财务,运营和声誉。
所有供应商的风险都应该由负责产品/服务的业务线主管所拥有。Pierson说,“根据他们提供的产品/服务的关键性以及风险评估企业的供应商,企业可以更充分地管理这些风险,请求减轻控制或者脱离供应商。”
Crowd Strike公司产品管理副总裁Rod Murchison表示,在安全方面,事件发生后具有知识渊博是不够的。他说:“每个组织都需要实时了解网络的安全状况,应该努力实现和保持前进。”
为了减轻这些类型的威胁,最复杂的端点安全解决方案可以实时感知和分析足够的数据,以确保实时观察到违规和入侵。“这些新的解决方案利用了机器学习,人工智能和分析方面的技术进步,所以组织可以快速观察和填补第三方组织遗漏的(无意或故意的)漏洞。”
随着全球隐私法规的日益增长,如“一般数据保护条例”(GDPR),在整个生命周期中控制数据使用的能力将至关重要。FocalPoint公司数据风险的数据隐私实践负责人Eric Dieterich说,强大的访问管理控制可以提供帮助,但是通常需要实施数据掩蔽和匿名化来管理关键数据领域的访问。
有什么解决方案?
Axiomatics公司业务发展副总裁Gerry Geble表示,第三方访问需要采用分层安全方法,采用动态背景访问控制。例如,一层安全性是动态地控制谁可以访问企业的网络。一旦这些第三方在网络上,另一层就是控制对API,数据和其他资产的访问。
Caccia建议,第三方访问资产是行为分析的完美场景,系统基于网络上用户的正常行为,即使对用户实际知之甚少。“用户行为分析(UBA)应该是与合作伙伴广泛合作的任何公司的表格赌注;他说,这是理解和控制曾经被移除的用户在企业络和数据中所做的最好的方法。
Henderson建议企业加强供应商管理的治理政策得到加强。这应包括关于这些供应商的定期和随机审核的政策。这些审计应该具有返回量化和可定义度量的能力。
另外在制定和起草这些供应商的合同时,重要的是适当的部分明确规定了包括供应商期望的安全性和隐私义务。
“我喜欢将一些数据插入到与第三方共享的记录集中,然后观看那些数据转储上网。你会惊讶于数据泄漏到网络上并出现在像pastebin这样的地方。”Henderson说。“其他让我对这个问题感到紧张的事情,这完全是一个事实,即所有的员工,资源,工具和技术常常被打败,只不过是一些中层管理者把大量的客户数据记载在电子表格中,然后发送通过电子邮件发送给业务部门承包的一些以前未知的第三方,以运行批量电子邮件活动。”
他建议,对于其他企业而言,重要的一个教训是确保第三方无法达到网络的这些部分。企业环境的微分割,以及许多其他旨在保持流量共同作用的工具,可以停止或至少减缓攻击者的速度,为企业的安全团队提供宝贵的时间来检测和应对事件。”他说。
虽然不可能避免第三方,Alien Vault公司的安全倡导者Javvad Malik表示,有许多基本的安全措施可以帮助减轻风险。这方面的例子包括:
·了解自己的资产-通过了解企业的资产,特别是关键资产,可以更容易地确定哪些系统第三方应该访问哪些系统并限制访问这些资产。
·监控控制-有效监控,以确定第三方是否只能访问他们应该和以某种方式应用的系统。行为监测可以通过显示这方面在正常参数之外的突出活动的位置。
·隔离-通过隔离网络和资产,可以包含任何违规行为。
·保证-积极寻求定期确保安全控制实施工作的预期。
FireEye公司主要顾问Jeremy Koppen表示,应该讨论有关第三方访问的四个安全控制措施:
·为每个供应商用户分配唯一的用户帐户,以更好地监控每个帐户,并识别异常活动。
·需要双因素认证来访问可以直接或间接访问内部网络的应用程序和资源。这可以保护组织,防止供应商的用户凭据受到损害。
·限制所有第三方帐户,只允许访问所需的系统和网络。
·终止第三方关系后,禁用环境中的所有帐户。
在企业应用程序开发世界中,Jerbi认为许多公司被第三方使用虚拟容器等新兴技术所掩盖。如果一家公司正在使用来自第三方的容器化应用程序,则该应用程序应该针对特定于容器的安全风险进行审查,例如容器映像中的漏洞,硬编码的秘密和配置缺陷。
Baker说,选择供应商时有很多最佳做法:他们的安全性是多么透明?他们是否有第三方安全测试?他们分享了测试的结果吗?他说:“最终,选择安全的供应商并不一定会阻止公司成为另一个目标,但它会阻止你所合作的第三方公司成为薄弱环节。”
本文转自d1net(转载)