4.通過服務供應商開展的隱藏攻擊

大多數小型企業會借助第三方服務供應商來管理某些技術或業務難題。托管網站啦、創建內部郵件系統啦、使用云存儲服務啦或者管理銷售點系統啦，這些看似平常的工作都不是小企業自己能夠處理的，必須由第三方幫助解決。但到這兒問題就來了——只要合作關系確立，雙方就成了一條繩上的螞蚱，供應商的安全漏洞也會對我們自己產生影響。

CloudFlare公司所遭受的攻擊就是典型的例子，惡意人士從一開始就將目標設定為奪取CloudFlare的客戶訪問權上。比起直接對企業本身展開攻擊，很多犯罪分子更喜歡對網絡安全供應商下手——這樣可謂一箭多雕，只要攻擊得手，全部客戶都會成為任人宰割的板上魚肉。

根據安全服務供應商Trustwave公司（這家企業主要為零售及醫療機構提供服務）的調查分析，去年，76%的數據外泄事故與第三方系統管理有關。無獨有偶，Verizon公司發布的年度數據泄露調查報告同樣指出，在遭受數據泄露困擾的企業用戶中，有46%采用了第三方合作伙伴的管理方案，且這一比例在過去三年中持續走高。

現在我們需要跟自己的服務供應商好好聊聊，尋求規避風險的最佳途徑。電子郵件服務供應商必須正視安全問題的重要性，因為郵件系統往往是抵御攻擊時最薄弱的環節。

“對于小型企業而言，員工的郵件賬戶就像一把萬能鑰匙，能夠打開所有相關業務賬戶的大門，”Prince指出。“只要黑客成功取得郵件賬戶的控制權，那么其它所有賬戶的安保機制都將形同虛設。”許多攻擊者都會利用由云服務供應商提供的郵件賬戶恢復機制來奪取企業托管服務的控制權。舉例來說，遭遇侵襲的CloudFlare公司就選擇將的私人郵箱地址作為企業在谷歌應用的官方賬戶，這樣一來密碼重置確認郵件就落入了惡意人士手中，后果自然不言而喻。

“花一整天時間為官方網站被攻擊而向客戶道歉當然很不好受，但如果黑客一下子劃走數十萬美元，那么企業將立刻面臨倒閉。”——Internet Identity公司CEO Lars Harvey

許多新興企業及小公司都采取了與CloudFlare同樣的處理方式，這就給將來的事故埋下禍根。

各類財務事務也是值得關注的安全重點。第一，別利用自動票據交換交易進行企業間的轉賬活動，或者說應該盡可能禁用這項功能。其次，問問公司選擇的銀行能否提供額外的安全措施，例如雙重身份驗證、資金轉移電話確認等機制，這些都能有效阻斷惡意人士的陰謀詭計。

“要想安全地跟銀行打交道，大家必須先確保自己擁有強大的控制權，否則趕緊換家合作銀行，”Internet Identity公司CEO Lars Harvey告訴我們，這是一家專門處理客戶互聯網事務安全的企業。

討論安全性話題應該成為選擇第三方服務商的標準流程，Prince表示。由于經受到嚴重的惡意攻擊，CloudFlare公司如今要求每一家供應商都必須提供嚴格的安全保障。

“‘貴公司能為我們的賬戶提供哪些額外安全保護？’如今在考慮與供應商開展合作之前，我們都會首先提出這個問題，”他告訴我們。

每一家供應商都應該有能力提供雙重身份驗證機制，例如便攜型實時密碼生成裝置或者通過短信發送確認信息等。除此之外，我們還應該選擇安全機制健全的移動手機品牌及管理企業，這樣才能保證手機遺失后不會發生賬戶失竊等一系列后續問題。