警惕供应链攻击，为什么你轻易相信供应商？

 

企业安全的薄弱环节可能来源合作伙伴和供应商。以下是如何理解和消除这类风险。

供应链攻击(也称第三方攻击)发生在有人通过外部合作伙伴或提供商访问系统和数据的系统渗透您的系统。这使得传统企业在过去几年的攻击面发生了巨大变化，更多的供应商和服务提供商接触到的敏感数据比以往任何时候都要多。

公众对威胁的认识不断提高和监管机构监督力度的增加，安全上的认识和防御提升不少。相反的，来自供应链的风险带来的风险却越来越高。与此同时，攻击者拥有比以往更多的资源和软件工具，来完成一场完美的攻击渗透。

供应链攻击

由供应商造成的重大网络漏洞数量呈上升趋势。2014年 Target breach 数据泄露是由第三方安全控制不严造成的。今年， Equifax存在严重的漏洞，在其使用的外部软件存在安全漏洞。而其后网站一处恶意下载链接来自另一个供应商。

著名的Paradise Pagers泄露的1300多万份文件详细记载了政界人士和名流的避税行为。

以上事件，均不是孤立存在的。根据安全机构的一项调查显示，56%的企业遭到了其中一家供应商的破坏。与此同时，每个公司获取敏感信息的第三方平均数据也从378个增加到471个。这个数字可能会有点低。只有35%的公司拥有与其共享敏感信息的所有第三方名单。只有18%的公司表示，他们知道这些供应商是否与其他供应商共享这些信息。因为客户不在乎公司的供应商是否丢失了数据，因为它来自非本公司。

当您考虑终止供应商的关系时，而风险不会终止，问题就会变得更加严重。大部分供应商合同都没有包含足够的细节来管理供应商终止后的数据保护和防止扩散的条款。

此外，监管机构正在越来越关注第三方风险。去年，纽约金融监管机构开始要求在本州设有金融机构，以确保其供应商的网络安全保护达到标准。

明年，欧洲也会这样做。‘通用数据保护条例’适用于所有从欧洲收集个人信息的公司。其罚款高达全球总收入的4%。

安全机构发现：第三方风险管理仍处于初级阶段，很多公司对这些风险没有很好的处理。但许多公司不了解风险，而且数据泄露的事件会增加，更多的这类事件将交由法律来处理。

 

安全专家预计，更多的监管机构将开始要求公司做第三方安全风险评估，这种趋势开始流行。

隐藏在硬件和软件供应链中的风险

几乎每个公司都使用外部软件和硬件。没有人或者公司愿意从头开始构建所有的技术。每个购买的设备，每个下载的应用程序需要审查，需要监视潜在的安全风险，所有的补丁必须是最新的。

不仅公司自身的数据处于风险之中，而且如果将有缺陷的软件或者硬件组件嵌入到产品中，则可能会导致更多的安全问题。被恶意后门感染的计算机芯片，没有强认证的单反或者软件组件都会千万广泛的损害。在心脏流血漏洞事件中，许多主要厂商包括甲骨文，VMware和思科影响数以百万计的网站和移动设备软件。

许多公司都制定了供应商必须达到的安全标准。需要第三方遵守我们的价值观和目标，如果他们超出了安全标准，则需要有更强有力的措施来管制。

如何管理供应链风险

适当的监督供应链的安全风险和将其跟合规接合起来。如果一家公司能评估所有供应商的安全和隐私政策，将大大降低数据泄露的风险。

一旦公司了解了所有供应商的身份，以及哪些供应商可以访问敏感数据，可以使用用各种工具来帮助评估其安全级别。例如，一些公司在与供应商达成的服务协议中包含安全性内容和明确的保护要求。并能要求供应商进行自我评估，让公司了解所有的风险位置和场景，根据这些风险量身定制可控制措施，并与供应商一起来弥补和减轻这些风险。