在一个相互连接的世界中,没有哪家企业是身处孤岛之上的。所有企业都不得不与第三方(外部厂商、承包商、关联企业、合作伙伴以及其他人)发生多重关系。
这对于成长中的企业来说当然是件好事,但是对于企业的安全来说也是一件非常糟糕的事情。众多专家认为,如今粗心大意的内部人员是安全链条中最薄弱的一环,第三方承包商(其也有漫不经心的内部人)也成了最薄弱的一环。婉转一点地说,这些都是企业安全领域的主要“痛点”。
美国俄亥俄州著名律所FI&C最近为网络风险评估服务公司NetDiligence提供的一份白皮书表明,防火墻、用户认证和强密码固然很重要,但它们所提供的安全保护却是远远不完备的。
这份白皮书的标题很长,叫做《我们中间的叛徒:物联网时代由职员、承包商和第三方导致的风险以及深度安全对风险管理来说至关重要的原因剖析》。其作者Ron Raether和Scot Ganow写道,数量不断增加的网络接入点对于企业来说,“就像是在防火墻上凿开了成百上千个城门。尽管这些城门都有卫兵把守,但基本上可容许任何经过改头换面的数据包(可以想象一张没有贴上职员照片的工作牌)通过城墻。”
去年12月,零售商Target所发生的重大数据泄露事件,其实就是源于其承包商的一封被钓鱼网站攻击的邮件。Target承包商的一位职员不小心点击了一个恶意链接,结果便使得Target的数百万条用户信用卡信息外泄。
SailPoint负责产品管理的副总裁Paul Trulove还提到了另一起类似事件。“这类骗局太多了,在电信和IT行业尤其如此。就在前不久,AT&T就因为一家第三方厂商的缘故而导致其移动客户的个人信息外泄,”他说,“缺口就在于允许服务提供商的员工访问其客户账户信息,包括客户的生日和社会保险号。”
这早已不是什么新问题了。零点风险分析公司的CEO兼首席分析师MacDonnell Ulsch一年前就曾说过:“在几乎每一次的成功网络攻击中,毫无例外地都会牵扯到一家第三方厂商或者关联企业。”
产生这种痛点的原因很多。全球网络风险(Global Cyber Risk)公司的CEO Jody Westby指出,一个主要的原因就是:绝大多数企业几乎从未关注过与之签过合同的第三方关联者的安全问题。“很多企业现在只是刚刚开始着手解决与IT功能和业务流程外包相关的安全管理问题,”她说。
“企业发现,在要求其供应商采取必要的安全措施上,他们很少有议价能力。而第三方市场早在客户想到要将采取安全措施纳入第三方服务合同条款之前就已经很兴旺了。于是现实情况就成了第三方服务商成了攻击者口中的一块肥肉,”她说。
再一个原因是第三方的网络接入无法像跟踪本企业员工那样进行常规跟踪。Ulsch说:“这得看彼此合作关系的长短以及个人之间的亲密程度,第三方的信任等级有时候可以达到甚至超过内部人员的信任度。”
Trulove对此也表示赞同。“他们是不拿薪水的职员,所以常常会绕过人力部门进入企业,因此无法通过任何集中管理系统来进行跟踪。具有讽刺意味的是,很多承包商的访问权限与企业长期雇员的一样,某些情况下,比如当他们承接了某个IT功能外包任务时,其权限等级甚至更高。”
第三个原因是,外部人员经常会携带自己的硬件和软件进入客户企业工作,这种情况已然存在并将继续存在。而这在其他网络中很可能是不安全的,也就是被安全专家们视为“卫生极差”的情况。
此种状况还可能由于企业在外包其服务时往往只关注成本而不关注安全而加剧。利维坦安全集团的高级安全咨询师James Arlen称:“企业在外包时追求的是价廉物美,但这往往会使外包成为最薄弱的安全环节。”
据Trulove说,使用第三方服务的情况越来越多。他列举了一些统计数字,表明在企业工作的承包商职员已从上世纪80年代的不到0.5%上升到了现在的2.3%;今年有42%的雇主希望聘用临时工或者合同工——这一数字在过去五年间上涨了14%。
至于如何降低此类风险,方法其实也很多。最基本的就是在企业与其承包商购买的每台联网设备上经常修改密码,并且同时进行风险和多要素认证。诸如此类的要求被Arlen称为“信息安全的101条款”。
显然,要实现良好的安全并不是很困难,他认为,“过去15年来我们其实早已知道该怎么做,但就是没有认真去做。”
除了基础性要求之外,专家们认为应强制要求企业对其与第三方签订的合同予以更密切的关注,也就是遵从服务等级协议(SLA)或业务关联协议(BAA)。
Ulsch认为,企业所签订的第三方合同至少要包含如下内容:
⦁信息安全;
⦁信息隐私;
⦁威胁与风险分析;
⦁履约义务涵盖范围;
⦁违规处罚机制;
⦁内部审计与信息披露要求;
⦁国外腐败行为管理。
Raether和Ganow则建议BAA条款应要求第三方厂商遵循企业内部所遵循的相同的安全框架。而且,在适当的条件下,企业应确保拥有审计其第三方承包商的权利,然后实际完成这样的审计。
Trulove也提出了几项建议,他称之为“基于身份管理的治理策略”,其中包括:
⦁“持续地审查哪些信息承包商可以访问,确保这些信息对他们的工作来说是确实需要的。要做到这一点,企业需要一个系统,对网络接入进行集中的可视化管理。”
⦁“由于承包商可能给企业网络带来更大的安全风险,因此需要创建一个身份风险模型,以便更好地了解痛点在哪里。而了解诸如承包商是否还在同时承包你的竞争对手的业务这样的细节也是非常重要的。”
⦁“一旦合同终止,务必尽快清理接入环境。只是简单地切断网络接入是不够的。还需要放置一个自动化系统来终止所有可能的第三方接入,就像企业在辞退员工时所做的那样。在合同工入职期间,需掌握合同期限及其性质,从而使终止接入届时自动生效。”
但即便做到了这一切,Ulsch指出,保护信息的完整性仍然是企业的首要职责。“尽管有各种法规可能会追究第三方的责任,但永远不要将法规遵从的责任拱手让于他人。”
最后,Arlen认为,BAA或SLA存在一个较大的缺陷,那就是这些协议常常“只关注具体的合规性——可能是PCI或HIPAA,这本身就是不安全的。”
“修补此缺陷的办法就是所谓的元合规(meta-comliance),要的是实际的安全而非安全秀,”他说。
