史蒂芬・霍金曾說:「我們如今都被互聯網連接,就像巨大大腦中的神經元」,當時很少人了解他這句話的深遠含義。
然而,從那次著名的美國今日報紙專訪過了十年,我們可以肯定霍金是對的。如今,互聯網建立了全球村落,將各個組織聯繫在一起,無分地理位置,使大大小小的企業都能建立緊密關係。
但這種互聯性也帶來了一個缺點:網路犯罪。數位相連的組織為罪犯提供了機會,只要一次攻擊就可能損害多家企業。
供應鏈攻擊的崛起
最近就發生過這樣的事件:聯合健康集團的子公司Change Healthcare遭到勒索軟體攻擊,導致全美許多醫療服務提供者無法從保險公司獲得報銷,蒙受財務損失。
這突顯了數位相連組織彼此的依賴性。一旦供應鏈中的某一環節斷裂,就會對其他環節產生連鎖反應。
互聯性另一個關鍵問題在於數據分享和網路交叉。
當組織將部分服務外包給供應商,或依賴其他組織的服務時,幾乎總是會產生數據傳輸。有時,合作夥伴甚至可能需要存取組織的網路。但是,一旦組織的數據流向第三方,風險就會增加。
儘管數據的安全責任仍在所有者手中,但當數據離開其基礎設施時,組織就必須依賴合作夥伴的安全性來保護數據。這可能會使數據面臨風險,暴露在網路盜竊的威脅之下。
去年發生的MOVEit網路攻擊就是一個典型案例。
Cl0p勒索軟體攻擊利用了這款無所不在的檔案傳輸服務的一個漏洞,竊取了許多使用該軟體的組織的檔案。據估計,共有超過2,000家組織受到影響,影響了6,000萬人,造成約100億美元的損失。這說明了互聯網互聯性雖然給組織帶來好處,但也增加了管理挑戰,尤其是當數據安全受到威脅時。
不幸的是,這類供應鏈攻擊變得越來越普遍,組織即使沒有數位連接也可能遭殃。隨著組織規模的擴大,合作夥伴生態系統通常也會增長。這並不意味著所有供應商都需要存取組織網路,他們可能只是提供服務。然而,供應鏈中的服務中斷仍可能對組織產生重大影響。
因此,所有組織在與供應商建立合作關係時,都應該對其採取盡職調查,了解他們為保護資產所採取的管控措施。組織應有信心,一旦供應商遭到網路攻擊,不會影響到自身的服務。
這究竟可以如何實現?
審查供應鏈
盡管供應鏈網路安全存在風險,組織仍可採取許多步驟來審查合作夥伴,提高抵禦第三方攻擊的能力。其中最重要的步驟包括:
1. 盤點供應鏈:
對組織而言,最重要的一步是了解誰是他們的合作夥伴。組織必須盤點所有部門的所有合作夥伴,評估是否與合作夥伴共享數據、他們對內部系統的存取權限如何,以及組織是否依賴其他供應商的服務來保持正常運作或提供服務。
2. 識別關鍵供應商:
完成初步盤點後,組織必須確定關鍵供應商。這些是支持日常業務運營的合作夥伴,為組織提供所需服務,或者代表組織提供服務。
確定了關鍵供應商後,組織就必須努力了解他們對網路的存取權限,以及與供應商共享數據的方式。還要了解合作夥伴遭到入侵會對業務產生何種影響非常重要。
會危及關鍵服務嗎?財務損失會有多大?客戶會受到何種影響?這些問題都必須得到解答。
3. 問卷調查和管控評估:
盤點完所有供應商後,就應該要求他們填寫有關網路安全實務和法規遵循的問卷。
問卷應側重於員工網路安全意識培訓、修補管理,以及他們是否遵守常見的安全控制措施,如NIST或ISO27001標準。
問卷中不應存在任何紅旗。如果合作夥伴未採取全面的安全措施,就該斷絕關係。對於關鍵供應商,建議進行更加深入的控制審查。
最重要的是,企業必須確保合作夥伴具有網路韌性。合作夥伴必須證明他們制定了既可防止入侵者攻入系統,又能快速有效遏制攻擊的策略,以免影響服務或其他合作夥伴。
4. 技術措施:
對於需要直接存取網路的合作夥伴,必須確保他們擁有安全的網路連線。
此外,在可能的情況下,還應隔離網路,不讓供應商觸及任何關鍵任務數據。重點是限制對合作夥伴的不必要暴露,這樣罪犯就無法利用網路橫向移動進入他們的數據。
隨著越來越多供應鏈攻擊曝光,第三方安全對所有企業來說都變得至關重要。組織必須審查供應商,確保他們實行良好的網路安全衛生,同時也要努力在合作夥伴遭到攻擊時,將暴露程度控制在最低限度。
在當今數位化世界,採取這些步驟至關重要。正如霍金所預言,互聯網將我們聯繫在一起,關於「六度分離理論」的奢想已不復存在。
詳情請看:
Securing your organization’s supply chain: Reducing the risks of third parties