大多数企业在缺少内部资源时,都会雇佣第三方供应商来填补空缺。允许第三方供应商访问其网络通常是必要的。但在目标的网络被攻破了几年前的,因为HVAC供应商的缺乏安全感,焦点仍然是如何让第三方接入网络,而无需创建一个安全漏洞。
使用第三方提供的是普遍的,与他们有关的漏洞。身份风险和生活方式的解决方案提供商SecZetta索赔,平均而言,劳动力的40%,弥补了第三方。最近索哈系统的笔记做了调查,所有数据泄露的63%可以归因于第三方。“第三方雇员的依赖增加,再加上黑客的日益成熟,导致了目前的身份和访问管理危机,大多数企业都面临着今天 - 无论他们是否意识到这一点,”一个SecZetta博客文章说。
里克·卡西亚,芝加哥Exabeam解释说,目标违反照射在来与信任的合作伙伴的风险的灯。一方面,他们往往有一个坚定的环境中获得最敏感的数据和系统。另一方面,该公司几乎没有洞察合作伙伴自身的安全流程和并不真正了解合作伙伴的员工或他们的日常生活。
Bugcrowd的运营副总裁David Baker说:“大多数公民组织的经验法则是,只有当第三方做得比你好时,你才可以使用他们。”因此,无论是交付一个包还是管理您的数据中心,如果外包的第三方做得更好,使用它们都是有意义的。2020欧洲杯预赛这也延伸到了安全方面。”
例如,大量的组织外包数据中心亚马逊网络服务(AWS)不仅因为AWS构建技术的功能比什么组织可以实现自己,还因为提供的安全比什么公司可以2020欧洲杯预赛建立自己,他说。
“如果你使用一个第三方,并希望避免像与目标发生了什么事,你需要有由您选择那些第三方的过程,以及这个标准的很大一部分应该是安全的。安全必须要有些东西你可以测量他们做比你更好,”贝克说。
马库斯·雅各布森,在Agari首席科学家说,一个很大的缺点与第三方供应商合作是对安全控制的损失。"Not only does each vendor create a new entry point into an organization’s network for cyber criminals to exploit, but it also means every employee for that vendor is now a potential target to breach your brand. Unfortunately, the only way to ensure your company is not exposed to greater risks is by keeping everything in-house. But in today’s digital world, this isn’t a reality."
Mike McKee, ObserveIT的首席执行官,他说,缺乏对第三方提供商的用户正在做什么的可见性——不管是无意的还是有意的——是一个巨大的安全风险。
“每一个组织都必须确保它已经确定了外部各方能够访问系统和数据,并有到位的安全程序,为这些用户遵循严格的政策和有效的技术到位,以监控和检测,如果第三方把他们的组织在风险,”他说。
这是做生意,留下您的网络容易受到第三方的成本,伊扎克·(伊茨克)Vager,在威瑞特系统网络产品管理和业务发展的副总裁。厂家直接连接到供应商管理刚刚在时间的生产。会计部门连接到外部发票和收据系统,以及营销团队已经给所有类型的自动化解决方案接入网络基础设施。
“组织需要假设他们已经被第三方入侵,在你的网络中留下一个漏洞,因此他们需要转向检测和响应领域的解决方案,考虑到全局,通过检测整个网络,端点和有效负载提供完全的可见性。”
理查德·亨德森全球安全策略的绝对,同意。"In the majority of cases, companies will have no way to learn if those partners have a breach or fall prey to attack. Add to this that regulators (and customers) really don’t care if someone else was responsible and it seems like an unwinnable battle. After the damage is done, organizations are left picking up the pieces and will be the ones called to task and held accountable.”
Radware公司安全解决方案副总裁卡尔·赫伯格(Carl Herberger)表示,各业务部门在利用新解决方案以加快产品上市速度和降低成本方面承受着巨大压力。通常,安全性是次要考虑的问题。
Herberger说:“大多数这些业务团队不具备评估安全需求的技能或知识,因此可能导致与可能使公司网络暴露于攻击之下的供应商合作。”
集装箱安全公司Aqua security的首席技术官埃米尔•杰比(Amir Jerbi)指出,如果一家企业允许第三方进入其网络,无论出于什么原因,该第三方都将成为其安全圈不可或缺的一部分。因此,组织应该审查第三方的安全措施和实践,并确保他们与自己的一致,而且,定期检查和测试那些实践,以验证他们仍然遵守。这些检查可能(也应该)涵盖系统、流程和人员。”
Alertsec的CEO埃巴突击建议你的规则,以确保每个人都发挥。如果全磁盘加密的任务是为自己的工作人员,确保您的第三方这样做。“有太多的第三方登录到您的网络免受未知设备 - 设备,你不管理和无法控制的,除非他们是你的网络中就读。确保数据只流向加密设备,它们在IT基础架构是否录取与否“。
第三方风险管理
市场推出了第三方风险管理项目,以应对这一困境。像这样的程序可以告诉你第三方是位于海外还是在岸,使用公司发行的设备还是个人设备,是否进行了背景调查,以及他们是否将为公司执行重要职能。
Sungard Availability Services的安全咨询经理Asher DeMetz指出:“当涉及到网络世界时,供应商必须证明他们了解安全,并有一个成熟的安全程序,包括政策和员工培训。”任何连接到公司网络的第三方系统都需要有适当的业务功能和所有者,并与公司自身的安全程序相一致(安全、监控、控制)。
“软件或硬件需要经过正确的安全控制和安全测试认证,并可能符合要求。”如果第三方正在进行配置更改,这些将必须通过适当的更改管理渠道,以确保它们与安全程序保持一致,并且不会给环境带来风险,”DeMetz补充道。
Bluelock工程总监Derek Brost表示,由于各种原因,涉及外部参与者的风险管理可能是一项非常具有挑战性的活动。“有两个主要的因素需要考虑。第一,充分调动法律顾问的参与,以确保合同规定的责任、勤勉和应有的谨慎。作为支撑,这也应该允许执行或诉讼相关的损失或损害,如果事情出错。第二,通过认证管理、及时的活动分析,特别是审计审查,不断调配资源,对外部活动进行适当的控制和监督。”
布罗斯特说,不幸的是,企业通常需要第三方来降低成本或“快速修复”,因此,适当的投资水平可能不会被考虑在预算或管理外部参与者的总成本中。然而,像所有的风险管理活动一样,这些成本需要作为整体容忍度和潜在损失的一部分预先考虑。
Coalfire的总裁兼联合创始人Kennet Westby表示,每个组织都应该有一个强大的第三方供应商管理计划,用以支持关键供应商对其承诺服务的验证。供应商管理过程的一部分应该是验证您的供应商拥有内部安全控制。如果你的供应商管理计划要求这些第三方在比你的内部控制更大的标准下运作,你实际上可以比内部管理更能降低风险。
这给我们带来了身份访问管理。正如SecZetta在一篇博客文章中解释的那样,在大多数公司中,没有人或部门负责管理非员工身份(人员数据)及其关系。它可能提供访问权限,但对非员工更改的初始访问和管理费用由HR或采购支付。
这是一个挑战,尤其是在非员工比内部员工更容易接触到敏感信息的情况下。如果非员工被授予访问这些敏感系统的权限,为期9个月,但在6个月后提前完成工作,那么有3个月的时间,非员工仍然可以访问敏感系统。据塞泽塔说,这正是黑客试图侵入系统并窃取数据时要寻找的账户类型。
Bay Dynamics联合创始人兼首席技术官瑞安•斯托特(Ryan Stolte)表示,追踪谁在做什么是一项艰巨的任务。“安全团队必须关注那些访问公司最有价值的应用程序和系统的用户,而不是试图煮沸海洋,密切关注每个供应商的每个用户。”
Ryan Stolte, Bay Dynamics联合创始人兼首席技术官
他说,有效的供应商风险管理开始于确定您的“最重要的东西”,以及如果这些“最重要的东西”受到损害时对您组织的影响。然后,看看哪些供应商能够访问这些“皇冠上的宝石”,并持续监控不仅是供应商用户的活动,还包括他们的团队成员和大团队中的其他用户。如果您的安全工具标记了来自供应商用户的异常行为,那么重要的是让管理处于风险中的应用程序的应用程序所有者参与进来,询问该所有者是否有异常行为或业务上合理的行为。如果行为异常,威胁警报应该放在调查堆的顶部。
“考虑到经常第三方供应商都是非恶意的威胁,这是非常重要的。通常情况下,供应商的员工比良好的网络安全卫生的全职员工自觉少,因此无意贵公司暴露风险,”他说。
Viewpost的CSO克里斯·皮尔森说,拥有发达的供应商保证计划是必要的监督,量化,沟通,降低风险。该计划应考虑供应商的公司使命,目标和目的,并提供一个审查过程,着眼于所有类型的风险 - 网络安全,隐私,法规/法律,财务,业务和名誉。
然后,所有供应商的风险都应该进行评分,由负责产品/服务的业务线执行人员负责,并根据损害程度进行评分,社会化甚至由治理风险委员会批准。Pierson说:“根据供应商提供的产品/服务的关键程度和风险对供应商进行评级,公司可以更充分地管理这些风险,要求减轻控制,或脱离供应商。”
CrowdStrike负责产品管理的副总裁默奇森(Rod Murchison)说,在安全问题上,仅仅在事件发生后了解情况是不够的。他说:“对网络安全态势的实时可见性是每个组织都应该努力实现的目标,并在未来保持这一目标。”
他补充说,为了减少这类威胁,最先进的终端安全解决方案可以实时感知和分析足够的数据,以确保实时观察到入侵和入侵。“这些新的解决方案利用了机器学习、人工智能和分析技术的进步,因此组织可以快速观察并填补第三方组织无意留下的、有时是有意留下的漏洞。”
随着全球隐私法规(如通用数据保护法规(GDPR))的不断发展,在数据的整个生命周期中控制其使用的能力将变得至关重要。数据风险焦点公司的数据隐私实践负责人Eric Dieterich说,强大的访问管理控制可以有所帮助,但通常需要实施数据屏蔽和匿名化来管理对关键数据字段的访问。