據(jù)LAW360（美國一個基于訂閱的法律新聞服務(wù)）給出的2019年的網(wǎng)絡(luò)安全和隱私預(yù)測：1：網(wǎng)絡(luò)釣魚和民族國家黑客將成為焦點2：供應(yīng)商安全威脅將加大3：各州將繼續(xù)成為“民主實驗室”4：國際數(shù)據(jù)傳輸格局將變得更加復(fù)雜5：物聯(lián)網(wǎng)、加密貨幣將獲得更多的監(jiān)管利益其中第二條就是供應(yīng)商安全威脅將加大，關(guān)于供應(yīng)鏈安全，我們曾不止一次談到，供應(yīng)鏈安全在企業(yè)安全框架中至關(guān)重要，如若做不好，可能會使供應(yīng)商、企業(yè)深陷泥潭。

本文闡述了供應(yīng)鏈的安全問題，如訪問控制不足、補(bǔ)丁管理不充分等問題，這些問題可能導(dǎo)致企業(yè)存在數(shù)據(jù)泄露風(fēng)險，分析了供應(yīng)鏈對數(shù)據(jù)安全保護(hù)6個方面的安全威脅。

不安全的身份管理和訪問控制攻擊者入侵目標(biāo)網(wǎng)絡(luò)的最常見方式之一是竊取和濫用第三方訪問憑證。

由于各種原因，供應(yīng)商、承包商、技術(shù)供應(yīng)商和其他公司經(jīng)常需要直接訪問您的系統(tǒng)。

管理不善的訪問特權(quán)使攻擊者能夠通過第三方帳戶訪問您的網(wǎng)絡(luò)，并嘗試跳轉(zhuǎn)到更多的系統(tǒng)和網(wǎng)絡(luò)。

多年來，許多組織也同樣遭遇到跨站攻擊。

Lockpath的行業(yè)解決方案副總裁Sam Abadir說:“攻擊者可以通過第三方更容易地利用過度擴(kuò)展的憑證。

”第三方通常不太關(guān)注釣魚和社會工程攻擊的安全培訓(xùn)，這使它們相對容易成為被竊取憑證的目標(biāo)。

Abadir說:“與我們合作的公司開始意識到身份管理的風(fēng)險，因為它涉及到與第三方的接觸，而這往往被忽視。

”脆弱的業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)實踐通常情況下，組織認(rèn)為他們的供應(yīng)商已經(jīng)準(zhǔn)備好快速從數(shù)據(jù)泄露和其他安全事件中恢復(fù)，然后發(fā)現(xiàn)安全問題。

CynergisTek的首席執(zhí)行官麥克米倫(Mac McMillan)說，在安全事件發(fā)生時，第三方的災(zāi)難恢復(fù)與應(yīng)急響應(yīng)能力至關(guān)重要。

供應(yīng)商或其他第三方的準(zhǔn)備不足會影響您執(zhí)行正常業(yè)務(wù)功能的能力。

供應(yīng)商環(huán)境中可能存在供應(yīng)商容易受到干擾、數(shù)據(jù)和服務(wù)無法使用等問題，McMillan說:“客戶依賴于他們的業(yè)務(wù)系統(tǒng)，因此對于關(guān)鍵業(yè)務(wù)系統(tǒng)、服務(wù)或數(shù)據(jù)的破壞將導(dǎo)致其遭受勒索攻擊。

”滯后的安全事件通報過去幾年中，相關(guān)法規(guī)對于信息安全事件通報的及時性、有效性變得越來越嚴(yán)格。

例如新出臺的GDPR對于延遲披露安全事件的組織制定了嚴(yán)厲的懲罰措施。

因此，供應(yīng)鏈上的第三方供應(yīng)商在披露涉及客戶數(shù)據(jù)和系統(tǒng)安全事件時，任何滯后的事件通報都會對你的組織產(chǎn)生直接影響。

來自CynergisTek的McMillan說：客戶在選擇有限或時間緊迫的情況下往往不能充分了解事件，當(dāng)安全事件發(fā)生時可能導(dǎo)致比預(yù)期更嚴(yán)重的后果。

系統(tǒng)配置錯誤安全供應(yīng)商UpGuard的分析師丹奧沙利文(Dan O'Sulpvan)表示，配置不當(dāng)?shù)牡谌较到y(tǒng)是一個主要風(fēng)險。

當(dāng)業(yè)務(wù)合作伙伴或其他第三方將敏感數(shù)據(jù)存儲在不正確的IT系統(tǒng)上時，可能會發(fā)生糟糕的事情，會對相關(guān)企業(yè)造成雙重災(zāi)難。

“雖然系統(tǒng)的漏洞對企業(yè)而言沒有可見性或控制權(quán)，但是當(dāng)他們與供應(yīng)商共享的敏感信息因為系統(tǒng)的漏洞暴露出來時，他們將承受后果，”他舉了一個例子：最近一家工程公司將數(shù)據(jù)放在一臺可以通過互聯(lián)網(wǎng)公開訪問的服務(wù)器上時，不小心暴露了屬于戴爾(Dell)和奧斯汀市(Austin)等客戶的敏感數(shù)據(jù)。

O'Sulpvan指出，軍事承包商在去年年底暴露了一個包含高度敏感軍事數(shù)據(jù)的文件存儲庫。

漏洞管理措施不足美國三大個人信用評估機(jī)構(gòu)之一的Equifax未能妥善處理其軟件組件中已知漏洞，這可能是有史以來涉及敏感數(shù)據(jù)的最大漏洞之一。

如果您的第三方供應(yīng)商沒有遵循安全的補(bǔ)丁管理實踐，您也會遇到同樣的問題。

O'Sulpvan說，由于流程錯誤和失敗而未經(jīng)檢查的漏洞表明看似簡單但解決了強(qiáng)大的第三方威脅，O'Sulpvan說。

“這種威脅向量令人沮喪的是，堅固耐用的[企業(yè)IT]實踐應(yīng)該大大緩解這個問題，”他說。

“不幸的是，情況并非總是如此，其結(jié)果是一系列極具破壞性的數(shù)據(jù)泄露，這在很大程度上是可以預(yù)防的。

”O'Sulpvan說，由于流程錯誤和失誤而導(dǎo)致漏洞沒有被發(fā)現(xiàn)，這看起來很容易解決，但卻導(dǎo)致第三方面臨巨大威脅。

他表示這種安全威脅在有成熟的安全實踐企業(yè)中應(yīng)該很容易解決。

但不幸的是，情況并非總是如此，一些組織經(jīng)常遭遇了破壞性極大的數(shù)據(jù)泄漏事件，這些破壞本來是可以預(yù)防的。

第三方組件風(fēng)險開源和第三方組件可以顯著加速軟件開發(fā)。

但是如果你不小心的話，第三方軟件工具也會在你的軟件中引入很多漏洞。

Media Trust首席執(zhí)行官克里斯奧爾森(Chris Olson)說，考慮到在一個組織中執(zhí)行軟件代碼的50%至75%(有時甚至95%)來自第三方供應(yīng)商，脆弱組件帶來的風(fēng)險尤其高。

Olson說：“最近幾起備受關(guān)注的攻擊事件表明，網(wǎng)站運(yùn)營商需要對數(shù)據(jù)分析、數(shù)據(jù)管理、客戶識別、聊天和圖像庫平臺第三方提供商提高警惕。

”他指出，為了降低第三方組件風(fēng)險，組織需要實施風(fēng)險管理計劃，包括對第三方供應(yīng)商持續(xù)的安全監(jiān)控與管理。