本文來(lái)自微信公眾號(hào)“嘶吼專(zhuān)業(yè)版”,作者/胡金魚(yú)。
現(xiàn)代企業(yè)具有復(fù)雜的關(guān)系,而數(shù)據(jù)流是這種互連性的關(guān)鍵方面,因?yàn)槠髽I(yè)依靠數(shù)據(jù)來(lái)推動(dòng)決策、與合作伙伴協(xié)作、與客戶(hù)互動(dòng)以及優(yōu)化運(yùn)營(yíng)。據(jù)估計(jì),到2024年,全球創(chuàng)建、消費(fèi)和存儲(chǔ)的數(shù)據(jù)量將達(dá)到147 ZB——這個(gè)數(shù)字大得難以概念化。
共享數(shù)據(jù)具有明顯的優(yōu)勢(shì),但這也意味著企業(yè)在風(fēng)險(xiǎn)方面也是相互關(guān)聯(lián)的。企業(yè)和數(shù)據(jù)流的相互關(guān)聯(lián)性質(zhì)創(chuàng)建了一個(gè)動(dòng)態(tài)的生態(tài)系統(tǒng),其中網(wǎng)絡(luò)某一部分的中斷或破壞可能會(huì)對(duì)整個(gè)系統(tǒng)產(chǎn)生連鎖反應(yīng)。
即使基礎(chǔ)建設(shè)井然有序,但其他地方的違規(guī)行為仍然會(huì)影響數(shù)據(jù)的安全性、隱私性和完整性。如果在世界另一端的另一個(gè)企業(yè)遭受數(shù)據(jù)泄露,我們可以采取什么措施?
第三方違規(guī)行為的影響不應(yīng)被低估,有一些實(shí)用方法可以大大降低風(fēng)險(xiǎn)。
第三方違規(guī)的影響
在第三方違規(guī)場(chǎng)景中,初始違規(guī)不是發(fā)生在企業(yè)自己的網(wǎng)絡(luò)內(nèi),而是發(fā)生在與企業(yè)有業(yè)務(wù)關(guān)系的第三方實(shí)體的網(wǎng)絡(luò)或系統(tǒng)內(nèi)。然后,黑客利用這一初始漏洞作為平臺(tái),進(jìn)一步未經(jīng)授權(quán)訪(fǎng)問(wèn)供應(yīng)鏈中其他組織的敏感數(shù)據(jù)或系統(tǒng)。
例如,假設(shè)一家金融機(jī)構(gòu)與軟件提供商合作來(lái)處理其客戶(hù)數(shù)據(jù)。如果軟件提供商的網(wǎng)絡(luò)受到黑客的破壞,從而導(dǎo)致金融機(jī)構(gòu)的客戶(hù)數(shù)據(jù)暴露,則可能會(huì)發(fā)生第三方違規(guī)行為。
供應(yīng)鏈違規(guī)的發(fā)生方式有多種,第三方違規(guī)的影響可能包括:
·敏感數(shù)據(jù)的暴露,例如客戶(hù)信息、知識(shí)產(chǎn)權(quán)、財(cái)務(wù)記錄或商業(yè)秘密。
·由于調(diào)查和補(bǔ)救違規(guī)行為、通知受影響方、監(jiān)管機(jī)構(gòu)罰款以及潛在的法律和解而造成的經(jīng)濟(jì)損失。
·運(yùn)營(yíng)中斷導(dǎo)致停機(jī)、生產(chǎn)力損失以及需要額外資源來(lái)解決漏洞和恢復(fù)系統(tǒng)。
·聲譽(yù)受損導(dǎo)致客戶(hù)喪失信心和潛在商機(jī)。
·如果被攻擊的第三方供應(yīng)商是組織供應(yīng)鏈的關(guān)鍵部分,這可能會(huì)影響其他企業(yè)向客戶(hù)提供產(chǎn)品或服務(wù)的能力。
·第三方違規(guī)行為可能會(huì)暴露其他企業(yè)自己的系統(tǒng)和基礎(chǔ)設(shè)施中的漏洞。黑客可能會(huì)利用受感染的第三方作為踏腳石來(lái)訪(fǎng)問(wèn)更多目標(biāo)。
SolarWinds黑客攻擊
SolarWinds是一家提供IT管理和監(jiān)控解決方案的軟件公司。在最近的第三方違規(guī)案例中,黑客獲得了對(duì)SolarWinds系統(tǒng)的未經(jīng)授權(quán)的訪(fǎng)問(wèn),產(chǎn)生了重大的連鎖反應(yīng)。
黑客將惡意代碼插入SolarWinds的軟件更新中,然后將其分發(fā)給SolarWinds的客戶(hù),其中包括全球眾多政府機(jī)構(gòu)和企業(yè)。結(jié)果,黑客能夠滲透到許多客戶(hù)的網(wǎng)絡(luò),破壞他們的系統(tǒng)并獲取敏感數(shù)據(jù)。
SolarWinds黑客事件凸顯了與第三方供應(yīng)商相關(guān)的風(fēng)險(xiǎn)以及供應(yīng)鏈攻擊的可能性,攻擊者以受信任的供應(yīng)商為目標(biāo),以獲得對(duì)其全球供應(yīng)鏈中多個(gè)企業(yè)的訪(fǎng)問(wèn)權(quán)限。
密碼泄露在第三方違規(guī)行為中的作用
密碼在第三方違規(guī)行為中發(fā)揮著重要作用。一個(gè)嚴(yán)重且經(jīng)常被忽視的問(wèn)題是密碼重復(fù)使用,許多人在多個(gè)帳戶(hù)(包括個(gè)人帳戶(hù)和專(zhuān)業(yè)帳戶(hù))中重復(fù)使用密碼。
如果第三方供應(yīng)商遇到數(shù)據(jù)泄露并且用戶(hù)憑據(jù)(包括密碼)遭到泄露,黑客可以使用這些憑據(jù)對(duì)使用相同密碼的其他帳戶(hù)進(jìn)行未經(jīng)授權(quán)的訪(fǎng)問(wèn)。這顯著增加了第三方違規(guī)的影響。
黑客經(jīng)常使用自動(dòng)化工具來(lái)測(cè)試針對(duì)多項(xiàng)在線(xiàn)服務(wù)的一次違規(guī)行為所導(dǎo)致的受損憑證。這種技術(shù)稱(chēng)為憑證填充,它依賴(lài)于許多人在不同帳戶(hù)之間重復(fù)使用密碼的事實(shí)。如果來(lái)自受攻擊的第三方供應(yīng)商的用戶(hù)憑據(jù)被成功用于訪(fǎng)問(wèn)其他帳戶(hù),則可能會(huì)導(dǎo)致未經(jīng)授權(quán)的訪(fǎng)問(wèn)、數(shù)據(jù)被盜和潛在的財(cái)務(wù)損失。
而使用密碼策略等工具可以持續(xù)監(jiān)控Active Directory中是否存在在其他地方遭到泄露的密碼。
了解并管理攻擊面
外部攻擊面管理(EASM)在幫助企業(yè)預(yù)防和減輕第三方違規(guī)影響方面可以發(fā)揮至關(guān)重要的作用。
EASM解決方案可以?huà)呙韬妥R(shí)別連接到企業(yè)的所有面向互聯(lián)網(wǎng)的資產(chǎn),包括與第三方供應(yīng)商相關(guān)的資產(chǎn)。如果第三方供應(yīng)商托管服務(wù)(例如EASM客戶(hù)的域及其上的網(wǎng)站),則掃描該域就像該域100%由EASM客戶(hù)擁有一樣。
有了這種可見(jiàn)性,企業(yè)就可以了解其攻擊面的真實(shí)范圍,并識(shí)別第三方供應(yīng)商引入的潛在漏洞或弱點(diǎn)。這在一些實(shí)際方面將有幫助。
風(fēng)險(xiǎn)評(píng)估
EASM平臺(tái)可以評(píng)估企業(yè)攻擊面的網(wǎng)絡(luò)安全態(tài)勢(shì),包括第三方資產(chǎn)(不屬于EASM客戶(hù)自己所有的任何資產(chǎn))。例如,云托管服務(wù)器由亞馬遜和微軟等大型企業(yè)擁有和維護(hù)?;蛘?,企業(yè)可能會(huì)將其網(wǎng)站和在線(xiàn)商店的開(kāi)發(fā)和維護(hù)外包給第三方。通過(guò)評(píng)估第三方資產(chǎn)的因素(例如錯(cuò)誤配置、漏洞、暴露的數(shù)據(jù)庫(kù)和弱加密),EASM有助于在潛在風(fēng)險(xiǎn)被攻擊者利用之前識(shí)別它們。
持續(xù)監(jiān)控
持續(xù)監(jiān)控企業(yè)的攻擊面(包括第三方資產(chǎn))使IT團(tuán)隊(duì)能夠?qū)崟r(shí)檢測(cè)第三方供應(yīng)商引入的任何更改或新漏洞。通過(guò)及時(shí)識(shí)別和解決這些風(fēng)險(xiǎn),企業(yè)可以防止或最大限度地減少第三方違規(guī)行為的影響。
供應(yīng)商風(fēng)險(xiǎn)管理
EASM平臺(tái)可以與供應(yīng)商風(fēng)險(xiǎn)管理計(jì)劃集成,使企業(yè)能夠評(píng)估和監(jiān)控第三方供應(yīng)商的網(wǎng)絡(luò)安全狀況。然后,企業(yè)可以就加入哪些供應(yīng)商并實(shí)施適當(dāng)?shù)陌踩刂谱龀雒髦堑臎Q定。
事件響應(yīng)
如果發(fā)生第三方違規(guī),EASM解決方案可以提供有價(jià)值的見(jiàn)解和數(shù)據(jù)來(lái)支持事件響應(yīng)工作,最大限度地減少損失并縮短補(bǔ)救時(shí)間。