您的位置: 网界网 > 安全 > 正文

如何实现更好的第三方安全

2014年07月18日 09:56:58 | 作者:波波编译 | 来源:网界网 | 查看本文手机版

摘要:在一个相互连接的世界中,没有哪家企业是身处孤岛之上的。所有企业都不得不与第三方(外部厂商、承包商、关联企业、合作伙伴以及其他人)发生多重关系。

标签
缺陷
安全
第三方
Target

在一个相互连接的世界中,没有哪家企业是身处孤岛之上的。所有企业都不得不与第三方(外部厂商、承包商、关联企业、合作伙伴以及其他人)发生多重关系。

这对于成长中的企业来说当然是件好事,但是对于企业的安全来说也是一件非常糟糕的事情。众多专家认为,如今粗心大意的内部人员是安全链条中最薄弱的一环,第三方承包商(其也有漫不经心的内部人)也成了最薄弱的一环。婉转一点地说,这些都是企业安全领域的主要“痛点”。

美国俄亥俄州著名律所FI&C最近为网络风险评估服务公司NetDiligence提供的一份白皮书表明,防火墻、用户认证和强密码固然很重要,但它们所提供的安全保护却是远远不完备的。

这份白皮书的标题很长,叫做《我们中间的叛徒:物联网时代由职员、承包商和第三方导致的风险以及深度安全对风险管理来说至关重要的原因剖析》。其作者Ron Raether和Scot Ganow写道,数量不断增加的网络接入点对于企业来说,“就像是在防火墻上凿开了成百上千个城门。尽管这些城门都有卫兵把守,但基本上可容许任何经过改头换面的数据包(可以想象一张没有贴上职员照片的工作牌)通过城墻。”

去年12月,零售商Target所发生的重大数据[注]泄露事件,其实就是源于其承包商的一封被钓鱼网站攻击的邮件。Target承包商的一位职员不小心点击了一个恶意链接,结果便使得Target的数百万条用户信用卡信息外泄。

SailPoint负责产品管理的副总裁Paul Trulove还提到了另一起类似事件。“这类骗局太多了,在电信和IT行业尤其如此。就在前不久,AT&T就因为一家第三方厂商的缘故而导致其移动客户的个人信息外泄,”他说,“缺口就在于允许服务提供商的员工访问其客户账户信息,包括客户的生日和社会保险号。”

这早已不是什么新问题了。零点风险分析公司的CEO兼首席分析师MacDonnell Ulsch一年前就曾说过:“在几乎每一次的成功网络攻击中,毫无例外地都会牵扯到一家第三方厂商或者关联企业。”

产生这种痛点的原因很多。全球网络风险(Global Cyber Risk)公司的CEO Jody Westby指出,一个主要的原因就是:绝大多数企业几乎从未关注过与之签过合同的第三方关联者的安全问题。“很多企业现在只是刚刚开始着手解决与IT功能和业务流程外包相关的安全管理问题,”她说。

“企业发现,在要求其供应商采取必要的安全措施上,他们很少有议价能力。而第三方市场早在客户想到要将采取安全措施纳入第三方服务合同条款之前就已经很兴旺了。于是现实情况就成了第三方服务商成了攻击者口中的一块肥肉,”她说。

再一个原因是第三方的网络接入无法像跟踪本企业员工那样进行常规跟踪。Ulsch说:“这得看彼此合作关系的长短以及个人之间的亲密程度,第三方的信任等级有时候可以达到甚至超过内部人员的信任度。”

Trulove对此也表示赞同。“他们是不拿薪水的职员,所以常常会绕过人力部门进入企业,因此无法通过任何集中管理系统来进行跟踪。具有讽刺意味的是,很多承包商的访问权限与企业长期雇员的一样,某些情况下,比如当他们承接了某个IT功能外包任务时,其权限等级甚至更高。”

第三个原因是,外部人员经常会携带自己的硬件和软件进入客户企业工作,这种情况已然存在并将继续存在。而这在其他网络中很可能是不安全的,也就是被安全专家们视为“卫生极差”的情况。

此种状况还可能由于企业在外包其服务时往往只关注成本而不关注安全而加剧。利维坦安全集团的高级安全咨询师James Arlen称:“企业在外包时追求的是价廉物美,但这往往会使外包成为最薄弱的安全环节。”

据Trulove说,使用第三方服务的情况越来越多。他列举了一些统计数字,表明在企业工作的承包商职员已从上世纪80年代的不到0.5%上升到了现在的2.3%;今年有42%的雇主希望聘用临时工或者合同工——这一数字在过去五年间上涨了14%。

至于如何降低此类风险,方法其实也很多。最基本的就是在企业与其承包商购买的每台联网设备上经常修改密码,并且同时进行风险和多要素认证。诸如此类的要求被Arlen称为“信息安全的101条款”。

显然,要实现良好的安全并不是很困难,他认为,“过去15年来我们其实早已知道该怎么做,但就是没有认真去做。”

除了基础性要求之外,专家们认为应强制要求企业对其与第三方签订的合同予以更密切的关注,也就是遵从服务等级协议(SLA)或业务关联协议(BAA)。

12

参考资料

1.大数据:(Big Data),研究机构Gartner给出了这样的定义。“大数据”是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。 ...详情>>

[责任编辑:鹿宁宁 lu_ningning]