據(jù)LAW360（美國(guó)一個(gè)基于訂閱的法律新聞服務(wù)）給出的2019年的網(wǎng)絡(luò)安全和隱私預(yù)測(cè)：1：網(wǎng)絡(luò)釣魚和民族國(guó)家黑客將成為焦點(diǎn)2：供應(yīng)商安全威脅將加大3：各州將繼續(xù)成為“民主實(shí)驗(yàn)室”4：國(guó)際數(shù)據(jù)傳輸格局將變得更加復(fù)雜5：物聯(lián)網(wǎng)、加密貨幣將獲得更多的監(jiān)管利益其中第二條就是供應(yīng)商安全威脅將加大，關(guān)于供應(yīng)鏈安全，我們?cè)恢挂淮握劦?，供?yīng)鏈安全在企業(yè)安全框架中至關(guān)重要，如若做不好，可能會(huì)使供應(yīng)商、企業(yè)深陷泥潭。

本文闡述了供應(yīng)鏈的安全問(wèn)題，如訪問(wèn)控制不足、補(bǔ)丁管理不充分等問(wèn)題，這些問(wèn)題可能導(dǎo)致企業(yè)存在數(shù)據(jù)泄露風(fēng)險(xiǎn)，分析了供應(yīng)鏈對(duì)數(shù)據(jù)安全保護(hù)6個(gè)方面的安全威脅。

不安全的身份管理和訪問(wèn)控制攻擊者入侵目標(biāo)網(wǎng)絡(luò)的最常見(jiàn)方式之一是竊取和濫用第三方訪問(wèn)憑證。

由于各種原因，供應(yīng)商、承包商、技術(shù)供應(yīng)商和其他公司經(jīng)常需要直接訪問(wèn)您的系統(tǒng)。

管理不善的訪問(wèn)特權(quán)使攻擊者能夠通過(guò)第三方帳戶訪問(wèn)您的網(wǎng)絡(luò)，并嘗試跳轉(zhuǎn)到更多的系統(tǒng)和網(wǎng)絡(luò)。

多年來(lái)，許多組織也同樣遭遇到跨站攻擊。

Lockpath的行業(yè)解決方案副總裁Sam Abadir說(shuō):“攻擊者可以通過(guò)第三方更容易地利用過(guò)度擴(kuò)展的憑證。

”第三方通常不太關(guān)注釣魚和社會(huì)工程攻擊的安全培訓(xùn)，這使它們相對(duì)容易成為被竊取憑證的目標(biāo)。

Abadir說(shuō):“與我們合作的公司開(kāi)始意識(shí)到身份管理的風(fēng)險(xiǎn)，因?yàn)樗婕暗脚c第三方的接觸，而這往往被忽視。

”脆弱的業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)實(shí)踐通常情況下，組織認(rèn)為他們的供應(yīng)商已經(jīng)準(zhǔn)備好快速?gòu)臄?shù)據(jù)泄露和其他安全事件中恢復(fù)，然后發(fā)現(xiàn)安全問(wèn)題。

CynergisTek的首席執(zhí)行官麥克米倫(Mac McMillan)說(shuō)，在安全事件發(fā)生時(shí)，第三方的災(zāi)難恢復(fù)與應(yīng)急響應(yīng)能力至關(guān)重要。

供應(yīng)商或其他第三方的準(zhǔn)備不足會(huì)影響您執(zhí)行正常業(yè)務(wù)功能的能力。

供應(yīng)商環(huán)境中可能存在供應(yīng)商容易受到干擾、數(shù)據(jù)和服務(wù)無(wú)法使用等問(wèn)題，McMillan說(shuō):“客戶依賴于他們的業(yè)務(wù)系統(tǒng)，因此對(duì)于關(guān)鍵業(yè)務(wù)系統(tǒng)、服務(wù)或數(shù)據(jù)的破壞將導(dǎo)致其遭受勒索攻擊。

”滯后的安全事件通報(bào)過(guò)去幾年中，相關(guān)法規(guī)對(duì)于信息安全事件通報(bào)的及時(shí)性、有效性變得越來(lái)越嚴(yán)格。

例如新出臺(tái)的GDPR對(duì)于延遲披露安全事件的組織制定了嚴(yán)厲的懲罰措施。

因此，供應(yīng)鏈上的第三方供應(yīng)商在披露涉及客戶數(shù)據(jù)和系統(tǒng)安全事件時(shí)，任何滯后的事件通報(bào)都會(huì)對(duì)你的組織產(chǎn)生直接影響。

來(lái)自CynergisTek的McMillan說(shuō)：客戶在選擇有限或時(shí)間緊迫的情況下往往不能充分了解事件，當(dāng)安全事件發(fā)生時(shí)可能導(dǎo)致比預(yù)期更嚴(yán)重的后果。

系統(tǒng)配置錯(cuò)誤安全供應(yīng)商UpGuard的分析師丹奧沙利文(Dan O'Sulpvan)表示，配置不當(dāng)?shù)牡谌较到y(tǒng)是一個(gè)主要風(fēng)險(xiǎn)。

當(dāng)業(yè)務(wù)合作伙伴或其他第三方將敏感數(shù)據(jù)存儲(chǔ)在不正確的IT系統(tǒng)上時(shí)，可能會(huì)發(fā)生糟糕的事情，會(huì)對(duì)相關(guān)企業(yè)造成雙重災(zāi)難。

“雖然系統(tǒng)的漏洞對(duì)企業(yè)而言沒(méi)有可見(jiàn)性或控制權(quán)，但是當(dāng)他們與供應(yīng)商共享的敏感信息因?yàn)橄到y(tǒng)的漏洞暴露出來(lái)時(shí)，他們將承受后果，”他舉了一個(gè)例子：最近一家工程公司將數(shù)據(jù)放在一臺(tái)可以通過(guò)互聯(lián)網(wǎng)公開(kāi)訪問(wèn)的服務(wù)器上時(shí)，不小心暴露了屬于戴爾(Dell)和奧斯汀市(Austin)等客戶的敏感數(shù)據(jù)。

O'Sulpvan指出，軍事承包商在去年年底暴露了一個(gè)包含高度敏感軍事數(shù)據(jù)的文件存儲(chǔ)庫(kù)。

漏洞管理措施不足美國(guó)三大個(gè)人信用評(píng)估機(jī)構(gòu)之一的Equifax未能妥善處理其軟件組件中已知漏洞，這可能是有史以來(lái)涉及敏感數(shù)據(jù)的最大漏洞之一。

如果您的第三方供應(yīng)商沒(méi)有遵循安全的補(bǔ)丁管理實(shí)踐，您也會(huì)遇到同樣的問(wèn)題。

O'Sulpvan說(shuō)，由于流程錯(cuò)誤和失敗而未經(jīng)檢查的漏洞表明看似簡(jiǎn)單但解決了強(qiáng)大的第三方威脅，O'Sulpvan說(shuō)。

“這種威脅向量令人沮喪的是，堅(jiān)固耐用的[企業(yè)IT]實(shí)踐應(yīng)該大大緩解這個(gè)問(wèn)題，”他說(shuō)。

“不幸的是，情況并非總是如此，其結(jié)果是一系列極具破壞性的數(shù)據(jù)泄露，這在很大程度上是可以預(yù)防的。

”O'Sulpvan說(shuō)，由于流程錯(cuò)誤和失誤而導(dǎo)致漏洞沒(méi)有被發(fā)現(xiàn)，這看起來(lái)很容易解決，但卻導(dǎo)致第三方面臨巨大威脅。

他表示這種安全威脅在有成熟的安全實(shí)踐企業(yè)中應(yīng)該很容易解決。

但不幸的是，情況并非總是如此，一些組織經(jīng)常遭遇了破壞性極大的數(shù)據(jù)泄漏事件，這些破壞本來(lái)是可以預(yù)防的。

第三方組件風(fēng)險(xiǎn)開(kāi)源和第三方組件可以顯著加速軟件開(kāi)發(fā)。

但是如果你不小心的話，第三方軟件工具也會(huì)在你的軟件中引入很多漏洞。

Media Trust首席執(zhí)行官克里斯奧爾森(Chris Olson)說(shuō)，考慮到在一個(gè)組織中執(zhí)行軟件代碼的50%至75%(有時(shí)甚至95%)來(lái)自第三方供應(yīng)商，脆弱組件帶來(lái)的風(fēng)險(xiǎn)尤其高。

Olson說(shuō)：“最近幾起備受關(guān)注的攻擊事件表明，網(wǎng)站運(yùn)營(yíng)商需要對(duì)數(shù)據(jù)分析、數(shù)據(jù)管理、客戶識(shí)別、聊天和圖像庫(kù)平臺(tái)第三方提供商提高警惕。

”他指出，為了降低第三方組件風(fēng)險(xiǎn)，組織需要實(shí)施風(fēng)險(xiǎn)管理計(jì)劃，包括對(duì)第三方供應(yīng)商持續(xù)的安全監(jiān)控與管理。