揭秘来自第三方合作伙伴的威胁类型及防御建议

在如今这个万物互联的世界中，没有哪家企业是身处孤岛之上的。所有企业都不得不与第三方（外部厂商、承包商、关联企业、合作伙伴以及其他人）发生多重联系。
2018年由第三方造成的数据泄露事件
由于第三方供应商管理的网站存在配置错误，导致美国银行信用卡发行商TCM Bank在2017年3月初-2018年7月中旬之间暴露了大量信用卡申请人数据（包含姓名、地址、出生日期、社会安全号码）；
· 2018年6月，由于第三方负责管理的网站页面上存在一个漏洞，导致赛门铁克的身份保护服务Lifelock泄露了数百万客户的电子邮件地址；
· 2018年6月，由于第三方承包商未能合理保护Apache Airflow服务器，导致环球音乐集团（UMG）在云数据库中存储的所有内容都暴露在了开放的互联网上，其中包括内部文件传输协议（FTP）凭据、AWS密钥以及内部和SQL root密码等；
· 6月份，由于第三方服务器配置失误，导致MyHeritage家谱网站暴露了9200万用户个人详细信息，其中包括用户密码、电子邮件等；
· 同在6月，由于第三方服务商Inbenta Technologie所提供的软件中含有恶意代码，导致活动票务巨头公司Ticketmaster发生了数据泄露事件，影响了近5%的全球用户，泄露数据包含用户个人信息和银行卡数据等；
· 2018年5月，由于第三方服务商所提供的语音识别软件Nuance存在系统漏洞，导致包括旧金山卫生局和加州大学圣迭戈分校在内的客户信息泄露，曝光了4.5万份患者记录；
· 2018年4月，由于第三方支付系统存在漏洞，导致北美高端百货零售商Saks Fifth Avenue 萨克斯第五大道、Lord & Taylor和Saks Off 5th泄露了超过500万顾客的信用卡和借记卡等个人财务资料。
第三方已然成为薄弱环节
从2013年的Target事件再到上述种种案例，我们已经见识到与第三方的交互会怎样将弹性环境（设备、服务、应用自由进出的环境），转变成一个后门密布，黑客可轻易渗透进公司网络的不稳定空间。
根据一项针对200多名企业IT和安全高管、董事、经理进行的调查结果显示，56%的受访者对自身控制或防护第三方访问的能力表示强烈担忧；48%的受访者表示第三方访问在过去3年间增长迅速，且40%的受访者认为未来3年第三方访问将持续增长；75%的IT和安全人员认为第三方数据泄露非常严重，且正在增加。
与此同时，IIA研究基金会和Crowe Horwath LLP联合发布的调查数据也显示：超过78%的受访者表示对自身控制或防护第三方访问的能力表示“担忧”或“强烈担忧”；高达90%的受访者报告称自己的公司喜欢使用第三方技术承包商；65%以上形容他们的企业“极度依赖”或“广泛运用”第三方供应商；
结果很明显，如今，除了“粗心大意的内部员工”是安全链条中最薄弱的环节外，第三方承包商也成了最薄弱的一环。婉转一点来说，这些都是企业安全领域的主要“痛点”。
第三方的主要威胁类型
威胁1. 共享凭证
这是我们在大型企业中遭遇的最危险的身份验证方式之一。设想有这样一个服务——不经常使用，却要求某种形式的基于凭证的身份验证。随着时间推移，该服务的用户发生了改变，但出于方便考虑，凭证却一直未变。该服务目前可出于多种目的，在多个地点，用不同设备登录。只要一个缺乏经验的用户上了凭证获取技术的当，该服务以及该服务的后续登录用户就会陷入危险境地
公司内部的共享服务——从数据库到通信协议，都会成为恶意行为者的主要目标。持续的用户行为监视，让系统管理员可以通过个体身份验证协议映射和关联所有异常用户访问事件，来预防这种类型的服务滥用。
威胁2. 无规律地访问
将内部凭证授权给合作伙伴的公司，必须确保他们是长期且可靠的合作关系。管理和监控受信外部人士可能会是摆脱不掉的麻烦，尤其涉及试图分辨一个账户是否被黑的时候。账户和资源使用的无规律频繁变化，外加对IT策略和规则的不熟悉，都会导致警报激增。
对合作公司或重要内容及服务提供商赋予信任，应该始于将终端用户的潜在使用方式完全同化进公司。这意味着联合员工培训、严密监控和固定用户列表，以及预定义的参与用例。所有这些都有助于确保一旦怀疑有受损凭证使用不当的状况，你的安全运营中心（SOC）将有能力识别并解决该问题。
威胁3. 联合云（Joint Cloud）
很多公司已经转向部署云驱动的安全解决方案。虽然云应用使用规则已经受到了广泛关注，但我们也看到传统环境与云应用之间形成了更为复杂的关系，形成了另一个未被充分利用的空间。着眼未来，我们建议采用跨环境身份验证协议和措施，以便对这些不断演变的攻击面进行更细粒度的监控。
威胁4. 公共互联网曝光
接入互联网且允许第三方远程登录的设备正是外部攻击者梦寐以求的大奖。采用社会工程和其他欺骗手段，攻击者就可以轻松获取到对共享工作站的初始访问权限，并在此初始立足点的基础上渗透进你的网络。
采用安全远程连接协议并在工作站上应用额外的监视层，将有助于减轻外部非授权访问的可能性，还可能在外部人士试图在你周边建立据点的时候，提供有价值的情报。
威胁5. 特权账户
特权账户为内部不法分子和恶意外部人士提供了安全获取敏感资源和/或修改自身访问级别所需的权限。这正是特权账户应该像提供给受信外部人士的账户一样，在共享访问工作站上被隐藏或禁用的原因所在。
尽管这种方式并不总是可行，因为大多数外部访问权授予的是需要某种程度的较高权限以提供服务或技术的团体，我们建议在这些设备上建立目的明确的访问组，以确保域控规则和其他方面都能辅助实时识别异常。
历史的惨痛教训和直观的数据警示我们：重视第三方网络威胁已经成为保障网络安全不可回避的话题。企业需要花些时间来正确对待他们的第三方合作项目。以下10条安全建议可以帮助企业有效的降低第三方威胁：
安全建议
1. 综合考虑第三方公司的文化、潜在威胁和风险规避水平

[1] [2]  下一页

在如今这个万物互联的世界中，没有哪家企业是身处孤岛之上的。所有企业都不得不与第三方（外部厂商、承包商、关联企业、合作伙伴以及其他人）发生多重联系。
2018年由第三方造成的数据泄露事件
由于第三方供应商管理的网站存在配置错误，导致美国银行信用卡发行商TCM Bank在2017年3月初-2018年7月中旬之间暴露了大量信用卡申请人数据（包含姓名、地址、出生日期、社会安全号码）；
· 2018年6月，由于第三方负责管理的网站页面上存在一个漏洞，导致赛门铁克的身份保护服务Lifelock泄露了数百万客户的电子邮件地址；
· 2018年6月，由于第三方承包商未能合理保护Apache Airflow服务器，导致环球音乐集团（UMG）在云数据库中存储的所有内容都暴露在了开放的互联网上，其中包括内部文件传输协议（FTP）凭据、AWS密钥以及内部和SQL root密码等；
· 6月份，由于第三方服务器配置失误，导致MyHeritage家谱网站暴露了9200万用户个人详细信息，其中包括用户密码、电子邮件等；
· 同在6月，由于第三方服务商Inbenta Technologie所提供的软件中含有恶意代码，导致活动票务巨头公司Ticketmaster发生了数据泄露事件，影响了近5%的全球用户，泄露数据包含用户个人信息和银行卡数据等；

www.wnhack.com

· 2018年5月，由于第三方服务商所提供的语音识别软件Nuance存在系统漏洞，导致包括旧金山卫生局和加州大学圣迭戈分校在内的客户信息泄露，曝光了4.5万份患者记录；
· 2018年4月，由于第三方支付系统存在漏洞，导致北美高端百货零售商Saks Fifth Avenue 萨克斯第五大道、Lord & Taylor和Saks Off 5th泄露了超过500万顾客的信用卡和借记卡等个人财务资料。
第三方已然成为薄弱环节
从2013年的Target事件再到上述种种案例，我们已经见识到与第三方的交互会怎样将弹性环境（设备、服务、应用自由进出的环境），转变成一个后门密布，黑客可轻易渗透进公司网络的不稳定空间。
根据一项针对200多名企业IT和安全高管、董事、经理进行的调查结果显示，56%的受访者对自身控制或防护第三方访问的能力表示强烈担忧；48%的受访者表示第三方访问在过去3年间增长迅速，且40%的受访者认为未来3年第三方访问将持续增长；75%的IT和安全人员认为第三方数据泄露非常严重，且正在增加。
与此同时，IIA研究基金会和Crowe Horwath LLP联合发布的调查数据也显示：超过78%的受访者表示对自身控制或防护第三方访问的能力表示“担忧”或“强烈担忧”；高达90%的受访者报告称自己的公司喜欢使用第三方技术承包商；65%以上形容他们的企业“极度依赖”或“广泛运用”第三方供应商；

内容来自无奈安全网

结果很明显，如今，除了“粗心大意的内部员工”是安全链条中最薄弱的环节外，第三方承包商也成了最薄弱的一环。婉转一点来说，这些都是企业安全领域的主要“痛点”。
第三方的主要威胁类型
威胁1. 共享凭证
这是我们在大型企业中遭遇的最危险的身份验证方式之一。设想有这样一个服务——不经常使用，却要求某种形式的基于凭证的身份验证。随着时间推移，该服务的用户发生了改变，但出于方便考虑，凭证却一直未变。该服务目前可出于多种目的，在多个地点，用不同设备登录。只要一个缺乏经验的用户上了凭证获取技术的当，该服务以及该服务的后续登录用户就会陷入危险境地
公司内部的共享服务——从数据库到通信协议，都会成为恶意行为者的主要目标。持续的用户行为监视，让系统管理员可以通过个体身份验证协议映射和关联所有异常用户访问事件，来预防这种类型的服务滥用。
威胁2. 无规律地访问
将内部凭证授权给合作伙伴的公司，必须确保他们是长期且可靠的合作关系。管理和监控受信外部人士可能会是摆脱不掉的麻烦，尤其涉及试图分辨一个账户是否被黑的时候。账户和资源使用的无规律频繁变化，外加对IT策略和规则的不熟悉，都会导致警报激增。

内容来自无奈安全网

对合作公司或重要内容及服务提供商赋予信任，应该始于将终端用户的潜在使用方式完全同化进公司。这意味着联合员工培训、严密监控和固定用户列表，以及预定义的参与用例。所有这些都有助于确保一旦怀疑有受损凭证使用不当的状况，你的安全运营中心（SOC）将有能力识别并解决该问题。
威胁3. 联合云（Joint Cloud）
很多公司已经转向部署云驱动的安全解决方案。虽然云应用使用规则已经受到了广泛关注，但我们也看到传统环境与云应用之间形成了更为复杂的关系，形成了另一个未被充分利用的空间。着眼未来，我们建议采用跨环境身份验证协议和措施，以便对这些不断演变的攻击面进行更细粒度的监控。
威胁4. 公共互联网曝光
接入互联网且允许第三方远程登录的设备正是外部攻击者梦寐以求的大奖。采用社会工程和其他欺骗手段，攻击者就可以轻松获取到对共享工作站的初始访问权限，并在此初始立足点的基础上渗透进你的网络。
采用安全远程连接协议并在工作站上应用额外的监视层，将有助于减轻外部非授权访问的可能性，还可能在外部人士试图在你周边建立据点的时候，提供有价值的情报。
威胁5. 特权账户
特权账户为内部不法分子和恶意外部人士提供了安全获取敏感资源和/或修改自身访问级别所需的权限。这正是特权账户应该像提供给受信外部人士的账户一样，在共享访问工作站上被隐藏或禁用的原因所在。

无奈人生安全网

尽管这种方式并不总是可行，因为大多数外部访问权授予的是需要某种程度的较高权限以提供服务或技术的团体，我们建议在这些设备上建立目的明确的访问组，以确保域控规则和其他方面都能辅助实时识别异常。
历史的惨痛教训和直观的数据警示我们：重视第三方网络威胁已经成为保障网络安全不可回避的话题。企业需要花些时间来正确对待他们的第三方合作项目。以下10条安全建议可以帮助企业有效的降低第三方威胁：
安全建议
1. 综合考虑第三方公司的文化、潜在威胁和风险规避水平

内容来自无奈安全网

[1] [2]  下一页

。 (责任编辑：admin)