如何實(shí)現(xiàn)更好的第三方安全
在一個(gè)相互連接的世界中,沒(méi)有哪家企業(yè)是身處孤島之上的���。所有企業(yè)都不得不與第三方(外部廠商�、承包商、關(guān)聯(lián)企業(yè)����、合作伙伴以及其他人)發(fā)生多重關(guān)系。
這對(duì)于成長(zhǎng)中的企業(yè)來(lái)說(shuō)當(dāng)然是件好事����,但是對(duì)于企業(yè)的安全來(lái)說(shuō)也是一件非常糟糕的事情。眾多專(zhuān)家認(rèn)為��,如今粗心大意的內(nèi)部人員是安全鏈條中最薄弱的一環(huán)�,第三方承包商(其也有漫不經(jīng)心的內(nèi)部人)也成了最薄弱的一環(huán)。婉轉(zhuǎn)一點(diǎn)地說(shuō)��,這些都是企業(yè)安全領(lǐng)域的主要“痛點(diǎn)”�。
美國(guó)俄亥俄州著名律所FI&C最近為網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估服務(wù)公司NetDiligence提供的一份白皮書(shū)表明,防火墻����、用戶(hù)認(rèn)證和強(qiáng)密碼固然很重要,但它們所提供的安全保護(hù)卻是遠(yuǎn)遠(yuǎn)不完備的�。
這份白皮書(shū)的標(biāo)題很長(zhǎng),叫做《我們中間的叛徒:物聯(lián)網(wǎng)時(shí)代由職員�、承包商和第三方導(dǎo)致的風(fēng)險(xiǎn)以及深度安全對(duì)風(fēng)險(xiǎn)管理來(lái)說(shuō)至關(guān)重要的原因剖析》。其作者Ron Raether和Scot Ganow寫(xiě)道�,數(shù)量不斷增加的網(wǎng)絡(luò)接入點(diǎn)對(duì)于企業(yè)來(lái)說(shuō)����,“就像是在防火墻上鑿開(kāi)了成百上千個(gè)城門(mén)����。盡管這些城門(mén)都有衛(wèi)兵把守,但基本上可容許任何經(jīng)過(guò)改頭換面的數(shù)據(jù)包(可以想象一張沒(méi)有貼上職員照片的工作牌)通過(guò)城墻��。”
去年12月���,零售商Target所發(fā)生的重大數(shù)據(jù)泄露事件,其實(shí)就是源于其承包商的一封被釣魚(yú)網(wǎng)站攻擊的郵件���。Target承包商的一位職員不小心點(diǎn)擊了一個(gè)惡意鏈接����,結(jié)果便使得Target的數(shù)百萬(wàn)條用戶(hù)信用卡信息外泄���。
SailPoint負(fù)責(zé)產(chǎn)品管理的副總裁Paul Trulove還提到了另一起類(lèi)似事件�。“這類(lèi)騙局太多了��,在電信和IT行業(yè)尤其如此�。就在前不久�,AT&T就因?yàn)橐患业谌綇S商的緣故而導(dǎo)致其移動(dòng)客戶(hù)的個(gè)人信息外泄���,”他說(shuō)����,“缺口就在于允許服務(wù)提供商的員工訪(fǎng)問(wèn)其客戶(hù)賬戶(hù)信息�,包括客戶(hù)的生日和社會(huì)保險(xiǎn)號(hào)。”
這早已不是什么新問(wèn)題了���。零點(diǎn)風(fēng)險(xiǎn)分析公司的CEO兼首席分析師MacDonnell Ulsch一年前就曾說(shuō)過(guò):“在幾乎每一次的成功網(wǎng)絡(luò)攻擊中�����,毫無(wú)例外地都會(huì)牽扯到一家第三方廠商或者關(guān)聯(lián)企業(yè)�。”
產(chǎn)生這種痛點(diǎn)的原因很多�。全球網(wǎng)絡(luò)風(fēng)險(xiǎn)(Global Cyber Risk)公司的CEO Jody Westby指出,一個(gè)主要的原因就是:絕大多數(shù)企業(yè)幾乎從未關(guān)注過(guò)與之簽過(guò)合同的第三方關(guān)聯(lián)者的安全問(wèn)題����。“很多企業(yè)現(xiàn)在只是剛剛開(kāi)始著手解決與IT功能和業(yè)務(wù)流程外包相關(guān)的安全管理問(wèn)題,”她說(shuō)�����。
“企業(yè)發(fā)現(xiàn),在要求其供應(yīng)商采取必要的安全措施上�����,他們很少有議價(jià)能力����。而第三方市場(chǎng)早在客戶(hù)想到要將采取安全措施納入第三方服務(wù)合同條款之前就已經(jīng)很興旺了。于是現(xiàn)實(shí)情況就成了第三方服務(wù)商成了攻擊者口中的一塊肥肉�,”她說(shuō)。
再一個(gè)原因是第三方的網(wǎng)絡(luò)接入無(wú)法像跟蹤本企業(yè)員工那樣進(jìn)行常規(guī)跟蹤��。Ulsch說(shuō):“這得看彼此合作關(guān)系的長(zhǎng)短以及個(gè)人之間的親密程度�����,第三方的信任等級(jí)有時(shí)候可以達(dá)到甚至超過(guò)內(nèi)部人員的信任度�����。”
Trulove對(duì)此也表示贊同�����。“他們是不拿薪水的職員���,所以常常會(huì)繞過(guò)人力部門(mén)進(jìn)入企業(yè)�����,因此無(wú)法通過(guò)任何集中管理系統(tǒng)來(lái)進(jìn)行跟蹤��。具有諷刺意味的是��,很多承包商的訪(fǎng)問(wèn)權(quán)限與企業(yè)長(zhǎng)期雇員的一樣����,某些情況下���,比如當(dāng)他們承接了某個(gè)IT功能外包任務(wù)時(shí)��,其權(quán)限等級(jí)甚至更高���。”
第三個(gè)原因是,外部人員經(jīng)常會(huì)攜帶自己的硬件和軟件進(jìn)入客戶(hù)企業(yè)工作�����,這種情況已然存在并將繼續(xù)存在。而這在其他網(wǎng)絡(luò)中很可能是不安全的���,也就是被安全專(zhuān)家們視為“衛(wèi)生極差”的情況��。
此種狀況還可能由于企業(yè)在外包其服務(wù)時(shí)往往只關(guān)注成本而不關(guān)注安全而加劇�����。利維坦安全集團(tuán)的高級(jí)安全咨詢(xún)師James Arlen稱(chēng):“企業(yè)在外包時(shí)追求的是價(jià)廉物美�����,但這往往會(huì)使外包成為最薄弱的安全環(huán)節(jié)����。”
據(jù)Trulove說(shuō)���,使用第三方服務(wù)的情況越來(lái)越多。他列舉了一些統(tǒng)計(jì)數(shù)字����,表明在企業(yè)工作的承包商職員已從上世紀(jì)80年代的不到0.5%上升到了現(xiàn)在的2.3%;今年有42%的雇主希望聘用臨時(shí)工或者合同工——這一數(shù)字在過(guò)去五年間上漲了14%。
至于如何降低此類(lèi)風(fēng)險(xiǎn)�,方法其實(shí)也很多。最基本的就是在企業(yè)與其承包商購(gòu)買(mǎi)的每臺(tái)聯(lián)網(wǎng)設(shè)備上經(jīng)常修改密碼,并且同時(shí)進(jìn)行風(fēng)險(xiǎn)和多要素認(rèn)證�����。諸如此類(lèi)的要求被Arlen稱(chēng)為“信息安全的101條款”�。
顯然,要實(shí)現(xiàn)良好的安全并不是很困難���,他認(rèn)為����,“過(guò)去15年來(lái)我們其實(shí)早已知道該怎么做��,但就是沒(méi)有認(rèn)真去做����。”
除了基礎(chǔ)性要求之外,專(zhuān)家們認(rèn)為應(yīng)強(qiáng)制要求企業(yè)對(duì)其與第三方簽訂的合同予以更密切的關(guān)注���,也就是遵從服務(wù)等級(jí)協(xié)議(SLA)或業(yè)務(wù)關(guān)聯(lián)協(xié)議(BAA)�����。
Ulsch認(rèn)為���,企業(yè)所簽訂的第三方合同至少要包含如下內(nèi)容:
?信息安全;
?信息隱私;
?威脅與風(fēng)險(xiǎn)分析;
?履約義務(wù)涵蓋范圍;
?違規(guī)處罰機(jī)制;
?內(nèi)部審計(jì)與信息披露要求;
?國(guó)外腐敗行為管理���。
Raether和Ganow則建議BAA條款應(yīng)要求第三方廠商遵循企業(yè)內(nèi)部所遵循的相同的安全框架。而且�����,在適當(dāng)?shù)臈l件下�����,企業(yè)應(yīng)確保擁有審計(jì)其第三方承包商的權(quán)利��,然后實(shí)際完成這樣的審計(jì)��。
Trulove也提出了幾項(xiàng)建議��,他稱(chēng)之為“基于身份管理的治理策略”�,其中包括:
?“持續(xù)地審查哪些信息承包商可以訪(fǎng)問(wèn),確保這些信息對(duì)他們的工作來(lái)說(shuō)是確實(shí)需要的�。要做到這一點(diǎn)�����,企業(yè)需要一個(gè)系統(tǒng),對(duì)網(wǎng)絡(luò)接入進(jìn)行集中的可視化管理����。”
?“由于承包商可能給企業(yè)網(wǎng)絡(luò)帶來(lái)更大的安全風(fēng)險(xiǎn),因此需要?jiǎng)?chuàng)建一個(gè)身份風(fēng)險(xiǎn)模型�����,以便更好地了解痛點(diǎn)在哪里�����。而了解諸如承包商是否還在同時(shí)承包你的競(jìng)爭(zhēng)對(duì)手的業(yè)務(wù)這樣的細(xì)節(jié)也是非常重要的�����。”
?“一旦合同終止����,務(wù)必盡快清理接入環(huán)境。只是簡(jiǎn)單地切斷網(wǎng)絡(luò)接入是不夠的�。還需要放置一個(gè)自動(dòng)化系統(tǒng)來(lái)終止所有可能的第三方接入,就像企業(yè)在辭退員工時(shí)所做的那樣�����。在合同工入職期間,需掌握合同期限及其性質(zhì)�,從而使終止接入屆時(shí)自動(dòng)生效。”
但即便做到了這一切���,Ulsch指出����,保護(hù)信息的完整性仍然是企業(yè)的首要職責(zé)��。“盡管有各種法規(guī)可能會(huì)追究第三方的責(zé)任����,但永遠(yuǎn)不要將法規(guī)遵從的責(zé)任拱手讓于他人。”
最后�����,Arlen認(rèn)為����,BAA或SLA存在一個(gè)較大的缺陷,那就是這些協(xié)議常常“只關(guān)注具體的合規(guī)性——可能是PCI或HIPAA���,這本身就是不安全的����。”
“修補(bǔ)此缺陷的辦法就是所謂的元合規(guī)(meta-comliance)�����,要的是實(shí)際的安全而非安全秀�����,”他說(shuō)�。
