在一個相互連接的世界中,沒有哪家企業是身處孤島之上的。所有企業都不得不與第三方(外部廠商、承包商、關聯企業、合作伙伴以及其他人)發生多重關系。
這對于成長中的企業來說當然是件好事,但是對于企業的安全來說也是一件非常糟糕的事情。眾多專家認為,如今粗心大意的內部人員是安全鏈條中最薄弱的一環,第三方承包商(其也有漫不經心的內部人)也成了最薄弱的一環。婉轉一點地說,這些都是企業安全領域的主要“痛點”。
美國俄亥俄州著名律所FI&C最近為網絡風險評估服務公司NetDiligence提供的一份白皮書表明,防火墻、用戶認證和強密碼固然很重要,但它們所提供的安全保護卻是遠遠不完備的。
這份白皮書的標題很長,叫做《我們中間的叛徒:物聯網時代由職員、承包商和第三方導致的風險以及深度安全對風險管理來說至關重要的原因剖析》。其作者Ron Raether和Scot Ganow寫道,數量不斷增加的網絡接入點對于企業來說,“就像是在防火墻上鑿開了成百上千個城門。盡管這些城門都有衛兵把守,但基本上可容許任何經過改頭換面的數據包(可以想象一張沒有貼上職員照片的工作牌)通過城墻。”
去年12月,零售商Target所發生的重大數據泄露事件,其實就是源于其承包商的一封被釣魚網站攻擊的郵件。Target承包商的一位職員不小心點擊了一個惡意鏈接,結果便使得Target的數百萬條用戶信用卡信息外泄。
SailPoint負責產品管理的副總裁Paul Trulove還提到了另一起類似事件。“這類騙局太多了,在電信和IT行業尤其如此。就在前不久,AT&T就因為一家第三方廠商的緣故而導致其移動客戶的個人信息外泄,”他說,“缺口就在于允許服務提供商的員工訪問其客戶賬戶信息,包括客戶的生日和社會保險號。”
這早已不是什么新問題了。零點風險分析公司的CEO兼首席分析師MacDonnell Ulsch一年前就曾說過:“在幾乎每一次的成功網絡攻擊中,毫無例外地都會牽扯到一家第三方廠商或者關聯企業。”
產生這種痛點的原因很多。全球網絡風險(Global Cyber Risk)公司的CEO Jody Westby指出,一個主要的原因就是:絕大多數企業幾乎從未關注過與之簽過合同的第三方關聯者的安全問題。“很多企業現在只是剛剛開始著手解決與IT功能和業務流程外包相關的安全管理問題,”她說。
“企業發現,在要求其供應商采取必要的安全措施上,他們很少有議價能力。而第三方市場早在客戶想到要將采取安全措施納入第三方服務合同條款之前就已經很興旺了。于是現實情況就成了第三方服務商成了攻擊者口中的一塊肥肉,”她說。
再一個原因是第三方的網絡接入無法像跟蹤本企業員工那樣進行常規跟蹤。Ulsch說:“這得看彼此合作關系的長短以及個人之間的親密程度,第三方的信任等級有時候可以達到甚至超過內部人員的信任度。”
Trulove對此也表示贊同。“他們是不拿薪水的職員,所以常常會繞過人力部門進入企業,因此無法通過任何集中管理系統來進行跟蹤。具有諷刺意味的是,很多承包商的訪問權限與企業長期雇員的一樣,某些情況下,比如當他們承接了某個IT功能外包任務時,其權限等級甚至更高。”
第三個原因是,外部人員經常會攜帶自己的硬件和軟件進入客戶企業工作,這種情況已然存在并將繼續存在。而這在其他網絡中很可能是不安全的,也就是被安全專家們視為“衛生極差”的情況。
此種狀況還可能由于企業在外包其服務時往往只關注成本而不關注安全而加劇。利維坦安全集團的高級安全咨詢師James Arlen稱:“企業在外包時追求的是價廉物美,但這往往會使外包成為最薄弱的安全環節。”
據Trulove說,使用第三方服務的情況越來越多。他列舉了一些統計數字,表明在企業工作的承包商職員已從上世紀80年代的不到0.5%上升到了現在的2.3%;今年有42%的雇主希望聘用臨時工或者合同工——這一數字在過去五年間上漲了14%。
至于如何降低此類風險,方法其實也很多。最基本的就是在企業與其承包商購買的每臺聯網設備上經常修改密碼,并且同時進行風險和多要素認證。諸如此類的要求被Arlen稱為“信息安全的101條款”。
顯然,要實現良好的安全并不是很困難,他認為,“過去15年來我們其實早已知道該怎么做,但就是沒有認真去做。”
除了基礎性要求之外,專家們認為應強制要求企業對其與第三方簽訂的合同予以更密切的關注,也就是遵從服務等級協議(SLA)或業務關聯協議(BAA)。
Ulsch認為,企業所簽訂的第三方合同至少要包含如下內容:
信息安全;信息隱私;威脅與風險分析;履約義務涵蓋范圍;違規處罰機制;內部審計與信息披露要求;國外腐敗行為管理。
Raether和Ganow則建議BAA條款應要求第三方廠商遵循企業內部所遵循的相同的安全框架。而且,在適當的條件下,企業應確保擁有審計其第三方承包商的權利,然后實際完成這樣的審計。
Trulove也提出了幾項建議,他稱之為“基于身份管理的治理策略”,其中包括:
“持續地審查哪些信息承包商可以訪問,確保這些信息對他們的工作來說是確實需要的。要做到這一點,企業需要一個系統,對網絡接入進行集中的可視化管理。”“由于承包商可能給企業網絡帶來更大的安全風險,因此需要創建一個身份風險模型,以便更好地了解痛點在哪里。而了解諸如承包商是否還在同時承包你的競爭對手的業務這樣的細節也是非常重要的。”“一旦合同終止,務必盡快清理接入環境。只是簡單地切斷網絡接入是不夠的。還需要放置一個自動化系統來終止所有可能的第三方接入,就像企業在辭退員工時所做的那樣。在合同工入職期間,需掌握合同期限及其性質,從而使終止接入屆時自動生效。”
但即便做到了這一切,Ulsch指出,保護信息的完整性仍然是企業的首要職責。“盡管有各種法規可能會追究第三方的責任,但永遠不要將法規遵從的責任拱手讓于他人。”
最后,Arlen認為,BAA或SLA存在一個較大的缺陷,那就是這些協議常常“只關注具體的合規性——可能是PCI或HIPAA,這本身就是不安全的。”
“修補此缺陷的辦法就是所謂的元合規(meta-comliance),要的是實際的安全而非安全秀,”他說。
京公網安備 11010502049343號