Equifax黑客事件的經(jīng)驗(yàn)教訓(xùn):供應(yīng)鏈合作伙伴太重要了!

責(zé)任編輯:editor005

作者:nana

2017-10-23 14:15:47

摘自:安全牛

在網(wǎng)絡(luò)安全水平方面,對(duì)潛在供應(yīng)鏈合作伙伴的評(píng)估通常是個(gè)很匆忙的過程,而且往往做不到應(yīng)有的深度。這可以直擊問題核心——我們不能直接改變供應(yīng)商對(duì)網(wǎng)絡(luò)攻擊者的抗擊能力,但我們可以建立起有關(guān)網(wǎng)絡(luò)風(fēng)險(xiǎn)的透明關(guān)系。

1.45億客戶記錄被泄之后,Equifax股票暴跌30%,相當(dāng)于蒸發(fā)掉50億美元市值。Equifax黑客事件位列史上罕見大型數(shù)據(jù)泄露事件之一,被盜記錄中包含社會(huì)安全號(hào)和駕照信息。

而且,相比隨之而來的事件余波,目前的市值蒸發(fā)可能還僅僅是滄海一粟。不僅僅是Equifax被黑,其供應(yīng)商也面臨被黑風(fēng)險(xiǎn),可能暴露上百萬更多客戶信息。

比如說,VisaMasterCard最近就向各大銀行發(fā)出警報(bào),提醒他們約20萬張信用卡可能也被黑了。實(shí)際上,今年8月,信用卡詐騙迎來了一輪暴增,同比增長(zhǎng)了15%。2013年塔吉特百貨因第三方供應(yīng)商漏洞導(dǎo)致數(shù)據(jù)泄露之后,也出現(xiàn)了類似的身份盜竊猖獗期。

Visa和MasterCard都將信用卡可能被黑歸罪于Equifax。這兩大支付公司,或許是第一批站出來聲明自家數(shù)據(jù)可能在Equifax數(shù)據(jù)泄露事件中被盜的,后續(xù)應(yīng)該還會(huì)有一大批公司陸續(xù)發(fā)布聲明——任何與Equifax有互動(dòng)的公司都面臨此風(fēng)險(xiǎn)。

公司企業(yè)從供應(yīng)商那里繼承過來的風(fēng)險(xiǎn),是網(wǎng)絡(luò)安全中一個(gè)普遍性問題。今日快速多變的商業(yè)環(huán)境中,動(dòng)態(tài)供應(yīng)鏈?zhǔn)潜厝?,但每家新供?yīng)商都會(huì)擴(kuò)大公司的威脅界面。

讓該問題更加復(fù)雜的是,公司企業(yè)對(duì)其供應(yīng)商網(wǎng)絡(luò)的安全水平?jīng)]有監(jiān)管。他們沒辦法監(jiān)視其中涉及的風(fēng)險(xiǎn),也無法承受對(duì)生產(chǎn)力的影響。

在網(wǎng)絡(luò)安全水平方面,對(duì)潛在供應(yīng)鏈合作伙伴的評(píng)估通常是個(gè)很匆忙的過程,而且往往做不到應(yīng)有的深度。就像貸方采用FICO信用評(píng)分評(píng)估信用風(fēng)險(xiǎn)一樣,公司企業(yè)也應(yīng)采用類似的系統(tǒng)來評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)。該系統(tǒng)的核心,必須是持續(xù)監(jiān)測(cè)網(wǎng)絡(luò)風(fēng)險(xiǎn)的能力,而不僅僅是一次性評(píng)估就完事,而且還得自適應(yīng),跟上不斷改變的數(shù)字環(huán)境和風(fēng)險(xiǎn)進(jìn)化的步伐。

網(wǎng)絡(luò)攻擊是常態(tài),公司企業(yè)的對(duì)手每個(gè)月都在大幅進(jìn)化。于是,想要做出最明智的商業(yè)決策,在最早期檢測(cè)出供應(yīng)鏈風(fēng)險(xiǎn),就必須對(duì)與給定供應(yīng)商合作所存在的潛在風(fēng)險(xiǎn)和威脅,有著完整全面的可見性。

這可以直擊問題核心——我們不能直接改變供應(yīng)商對(duì)網(wǎng)絡(luò)攻擊者的抗擊能力,但我們可以建立起有關(guān)網(wǎng)絡(luò)風(fēng)險(xiǎn)的透明關(guān)系。這種范式下,我們就能收到第三方供應(yīng)商網(wǎng)絡(luò)風(fēng)險(xiǎn)早期警報(bào)信號(hào),如果認(rèn)為風(fēng)險(xiǎn)過高,可以及時(shí)終止合作關(guān)系。

早期警報(bào)信號(hào)包括:向C2基礎(chǔ)設(shè)施發(fā)信的設(shè)備、悄悄探測(cè)網(wǎng)絡(luò)防御的隱蔽惡意軟件、公司云存儲(chǔ)操作中存在的漏洞(可致口令和知識(shí)產(chǎn)權(quán)面臨風(fēng)險(xiǎn))等。缺乏對(duì)這些威脅的可見性,公司企業(yè)就被迫在無法完整獲悉所涉風(fēng)險(xiǎn)的情況下信任供應(yīng)商。

舉個(gè)例子。某公司最近與其他公司合作舉辦重大活動(dòng),檢測(cè)到合作公司網(wǎng)絡(luò)上有一臺(tái)設(shè)備與奇怪的外部IP地址通聯(lián)。由于該設(shè)備屬于第三方(也就是當(dāng)?shù)鼐郑┧泻瓦\(yùn)營(yíng),該公司的網(wǎng)絡(luò)防御沒能檢測(cè)到此威脅。就是這種第三方集成進(jìn)網(wǎng)絡(luò)的方式,容易造成威脅悄悄溜進(jìn)安全縫隙,Equifax黑客事件,恰好完美展現(xiàn)了微小威脅演變成致命數(shù)據(jù)泄露有多么容易。

Equifax的供應(yīng)鏈合作伙伴,幾乎必定受到該數(shù)據(jù)泄露的潛在影響。但是,他們可以在了解每段合作關(guān)系所帶來的風(fēng)險(xiǎn)和漏洞方面,變得更聰明些。但凡有此實(shí)時(shí)感知,都可以在早期看出并處理漏洞上居于有利位置,防止數(shù)據(jù)被泄。至于Equifax的1.45億客戶及其供應(yīng)鏈,情況顯然不是這樣的。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)