在如今這個萬物互聯的世界中，沒有哪家企業是身處孤島之上的。所有企業都不得不與第三方（外部廠商、承包商、關聯企業、合作伙伴以及其他人）發生多重聯系。

　　2018年由第三方造成的數據泄露事件

　　由于第三方供應商管理的網站存在配置錯誤，導致美國銀行信用卡發行商TCM Bank在2017年3月初-2018年7月中旬之間暴露了大量信用卡申請人數據（包含姓名、地址、出生日期、社會安全號碼）；

　　· 2018年6月，由于第三方負責管理的網站頁面上存在一個漏洞，導致賽門鐵克的身份保護服務Lifelock泄露了數百萬客戶的電子郵件地址；

　　· 2018年6月，由于第三方承包商未能合理保護Apache Airflow服務器，導致環球音樂集團（UMG）在云數據庫中存儲的所有內容都暴露在了開放的互聯網上，其中包括內部文件傳輸協議（FTP）憑據、AWS密鑰以及內部和SQL root密碼等；

　　· 6月份，由于第三方服務器配置失誤，導致MyHeritage家譜網站暴露了9200萬用戶個人詳細信息，其中包括用戶密碼、電子郵件等；

　　· 同在6月，由于第三方服務商Inbenta Technologie所提供的軟件中含有惡意代碼，導致活動票務巨頭公司Ticketmaster發生了數據泄露事件，影響了近5%的全球用戶，泄露數據包含用戶個人信息和銀行卡數據等；

　　· 2018年5月，由于第三方服務商所提供的語音識別軟件Nuance存在系統漏洞，導致包括舊金山衛生局和加州大學圣迭戈分校在內的客戶信息泄露，曝光了4.5萬份患者記錄；

　　· 2018年4月，由于第三方支付系統存在漏洞，導致北美高端百貨零售商Saks Fifth Avenue 薩克斯第五大道、Lord & Taylor和Saks Off 5th泄露了超過500萬顧客的信用卡和借記卡等個人財務資料。

　　第三方已然成為薄弱環節

　　從2013年的Target事件再到上述種種案例，我們已經見識到與第三方的交互會怎樣將彈性環境（設備、服務、應用自由進出的環境），轉變成一個后門密布，黑客可輕易滲透進公司網絡的不穩定空間。

　　根據一項針對200多名企業IT和安全高管、董事、經理進行的調查結果顯示，56%的受訪者對自身控制或防護第三方訪問的能力表示強烈擔憂；48%的受訪者表示第三方訪問在過去3年間增長迅速，且40%的受訪者認為未來3年第三方訪問將持續增長；75%的IT和安全人員認為第三方數據泄露非常嚴重，且正在增加。

　　與此同時，IIA研究基金會和Crowe Horwath LLP聯合發布的調查數據也顯示：超過78%的受訪者表示對自身控制或防護第三方訪問的能力表示“擔憂”或“強烈擔憂”；高達90%的受訪者報告稱自己的公司喜歡使用第三方技術承包商；65%以上形容他們的企業“極度依賴”或“廣泛運用”第三方供應商；

　　結果很明顯，如今，除了“粗心大意的內部員工”是安全鏈條中最薄弱的環節外，第三方承包商也成了最薄弱的一環。婉轉一點來說，這些都是企業安全領域的主要“痛點”。

　　第三方的主要威脅類型

　　威脅1. 共享憑證

　　這是我們在大型企業中遭遇的最危險的身份驗證方式之一。設想有這樣一個服務——不經常使用，卻要求某種形式的基于憑證的身份驗證。隨著時間推移，該服務的用戶發生了改變，但出于方便考慮，憑證卻一直未變。該服務目前可出于多種目的，在多個地點，用不同設備登錄。只要一個缺乏經驗的用戶上了憑證獲取技術的當，該服務以及該服務的后續登錄用戶就會陷入危險境地

　　公司內部的共享服務——從數據庫到通信協議，都會成為惡意行為者的主要目標。持續的用戶行為監視，讓系統管理員可以通過個體身份驗證協議映射和關聯所有異常用戶訪問事件，來預防這種類型的服務濫用。

　　威脅2. 無規律地訪問

　　將內部憑證授權給合作伙伴的公司，必須確保他們是長期且可靠的合作關系。管理和監控受信外部人士可能會是擺脫不掉的麻煩，尤其涉及試圖分辨一個賬戶是否被黑的時候。賬戶和資源使用的無規律頻繁變化，外加對IT策略和規則的不熟悉，都會導致警報激增。

　　對合作公司或重要內容及服務提供商賦予信任，應該始于將終端用戶的潛在使用方式完全同化進公司。這意味著聯合員工培訓、嚴密監控和固定用戶列表，以及預定義的參與用例。所有這些都有助于確保一旦懷疑有受損憑證使用不當的狀況，你的安全運營中心（SOC）將有能力識別并解決該問題。

　　威脅3. 聯合云（Joint Cloud）

　　很多公司已經轉向部署云驅動的安全解決方案。雖然云應用使用規則已經受到了廣泛關注，但我們也看到傳統環境與云應用之間形成了更為復雜的關系，形成了另一個未被充分利用的空間。著眼未來，我們建議采用跨環境身份驗證協議和措施，以便對這些不斷演變的攻擊面進行更細粒度的監控。

　　威脅4. 公共互聯網曝光

　　接入互聯網且允許第三方遠程登錄的設備正是外部攻擊者夢寐以求的大獎。采用社會工程和其他欺騙手段，攻擊者就可以輕松獲取到對共享工作站的初始訪問權限，并在此初始立足點的基礎上滲透進你的網絡。

　　采用安全遠程連接協議并在工作站上應用額外的監視層，將有助于減輕外部非授權訪問的可能性，還可能在外部人士試圖在你周邊建立據點的時候，提供有價值的情報。

　　威脅5. 特權賬戶

　　特權賬戶為內部不法分子和惡意外部人士提供了安全獲取敏感資源和/或修改自身訪問級別所需的權限。這正是特權賬戶應該像提供給受信外部人士的賬戶一樣，在共享訪問工作站上被隱藏或禁用的原因所在。

　　盡管這種方式并不總是可行，因為大多數外部訪問權授予的是需要某種程度的較高權限以提供服務或技術的團體，我們建議在這些設備上建立目的明確的訪問組，以確保域控規則和其他方面都能輔助實時識別異常。

　　歷史的慘痛教訓和直觀的數據警示我們：重視第三方網絡威脅已經成為保障網絡安全不可回避的話題。企業需要花些時間來正確對待他們的第三方合作項目。以下10條安全建議可以幫助企業有效的降低第三方威脅：

　　安全建議

　　1. 綜合考慮第三方公司的文化、潛在威脅和風險規避水平

　　開發一個項目伊始，其流行趨勢、變化以及威脅等因素都會對業務成敗帶來非常明顯的影響。很多項目最終走向失敗，是因為其利益相關者不能表達出一個第三方供應商如何能為他們的業務帶來效益，以及他們愿意在商業協議中承擔多少風險。例如，公司可以在東歐找到一個低成本的代碼開發者，此舉在短期內確實會省錢，但是這個離岸開發者真的適合該公司的企業文化嗎？與一個不尊重版權法的企業合作開展業務真的值得嗎？雖然有些企業覺得有些風險值得去冒，但是建議大家至少充分考慮到潛在的負面影響。

　　2. 實施強有力的內部管理體系和政策

　　建立一個全公司范圍內的管理政策，能夠為任何第三方風險管理項目奠定一個堅實的基礎。通過讓每個員工知曉企業制定風險管理計劃的目的是什么，并讓他們參與其中發表意見。只有讓他們每個人都清楚的了解，任何新的流程或職責都是為了防止由第三方帶來的安全風險，如此一來，項目才能實現最佳效果。

　　3. 確定第三方供應商的風險等級

　　列出所有與公司有業務往來的供應商，然后將其按照高風險、中等風險以及低風險進行分類。很多大型企業認為他們無法處理得來5000—10000多家供應商，所以對最低風險的公司進行檢查是非常重要的。此外還要記住，第三方包括供應商、合資子公司、子公司以及客戶。更成熟的程序認為，第三方必須由與互聯網相連或與之信息共享的企業組成。例如，一個供應商可能通過文件傳輸協議傳輸信息，他們不一定與網絡直接相連，但是敏感信息可能會被轉移。公司需要對固有風險進行總體考察，如戰略、合同、信息、IT操作以及監管和合規風險等。

　　4. 了解第三方的穩定性和運營狀態

　　一個企業如果面臨經濟壓力就會停止在安全管控方面的投入。在與第三方開展合作之前，先要對其進行一個全面的背景調查。了解他們最近是否發生過安全事件？有沒有被新聞報道過一些負面新聞，比如懸而未決的訴訟案或并購和收購活動等？了解一場DDoS攻擊會對其提供服務的能力造成多大影響。探索其潛在風險是非常重要的，看看他們是否有針對安全事件提供任何服務支持。

　　5． 合規并不一定意味著風險管理

　　記住，規定/法規（如GDPR、SOX、HIPAA健康保險流通與責任法案以及PCI DSS數據安全標準）都是最基本的標準。安全并不等于只滿足這些最低的監管標準。安全界的事情變化莫測，有時候法規并不能趕上其變化。例如，大多數法規并未將“勒索軟件”納入其中，但是當今時代的每個組織都在為防范勒索軟件在努力。

　　6. 單純依賴新技術并不可行，但并不意味著技術沒有幫助

　　依靠新技術來幫助安全人員減少所有可能的風險，只是一種不切實際的美好愿望。最好的方法還是依靠人、流程以及技術的結合。當然，這并不意味著技術是無用的?，F在市場上有許多可用的技術，提供實時的風險儀表板或風險管理平臺等。

　　7. 協商改善第三方的控件

　　在很多情況下，進一步的風險緩解根本不具有任何經濟意義。當風險引發的潛在損失小于實施風險管理措施所消耗的成本時，通?？梢怨膭罡呒壒芾砣藛T接受風險，并繼續協商其他更加無法接受的風險。

　　此外，考慮風險轉移也是非常重要的。作為合同談判過程的一部分，企業可以要求第三方附帶網絡保險服務。如果風險很大，一定要確保企業的權益在保單中得到保障。對于高風險的合作關系，企業應該考慮自己購買一份網絡保險，并作為唯一受益人。

　　風險轉移是一種相對輕松卻又容易被遺忘的方法。公司可以通過法律協議或是保險單將風險轉移給第三方?，F在，很多商業財產和事故保險中都內置了網絡保險單或附加險。

　　8. 仔細檢查你的風險評估結果

　　企業風險評估的審計結果對于企業不同領域（如采購、法律和安全）的內部審查具有非常重要的指導意義。企業應該對審計中發現的風險進行復審，并要求第三方對薄弱環節進行修改，以符合組織對安全性的要求。

　　企業還要對后續操作進行跟蹤反饋，以確保薄弱環節的修復活動得以落實。企業經常與第三方之間簽訂合同，但是又從不跟蹤其是否落實了合同中的敲定條款。例如，如果第三方同意每周或每月對日志進行檢查，或是將所有的筆記本電腦默認加密，一定要進行跟蹤反饋以確保他們真的落實了。

　　9. 檢測并報告風險等級

　　觀察風險是如何隨著第三方變化的。第一份合同可能是低風險的，但是第二份合同的風險可能更高。制定流程，以便企業能夠證明第三方風險計劃滿足了業務風險和監管的要求。此外，還要向執行團隊提供持續性的風險等級報告，來展示第三方風險技術是否發揮了效用。

　　10. 進行公開地溝通

　　與高風險的第三方建立定期溝通。更新任何新活動的最新消息，并與他們重申違約通知的要求，努力讓信息共享變得更加便捷。對于規模較大、更為成熟的第三方公司，建議每年進行一次現場檢查，或是每季度通過遠程會話和電話進行檢查。

責任編輯：韓希宇