2018年大大小小的安全事件中,数据泄露最为引人关注,其中因第三方导致的泄露事件不占少数。无论是由于服务提供者所管理的在线资源配置不当、还是不安全的第三方软件,或是与第三方不安全通信渠道,如果组织并未有足够地关注与防范,那么与第三方合作可能会使组织面临巨大的风险。
以下六个事件,说明了缺乏对合作伙伴和供应商的风险管理会带来怎样严重的后果。
一、信用卡申请人数据泄露
最近发生的安全事件,美国银行信用卡发行商TCM Bank公开消息,由于第三方供应商管理的网站配置错误,导致在2017年3月初至2018年7月中旬之间暴露了长达16个月的信用卡申请人数据(包含姓名、地址、出生日期、社会安全号码)。事后,TCM Bank要求供应商查看他们的技术和程序,以防止类似问题的发生。
二、数百万客户邮件地址暴露
今年6月,赛门铁克的身份保护服务Lifelock出现了一件尴尬的事情:该公司发现,网站上的一个漏洞暴露了数百万客户的电子邮件地址,而问题出在由第三方负责管理的网站页面。
三、消费者个人信息及银行卡数据泄露
活动票务巨头公司Ticketmaster爆出数据泄露事件,包含用户个人信息和银行卡数据,事件影响近5%的全球用户。事件是由第三方服务商Inbenta Technologie引起的,Inbenta Technologies为Ticketmaster提供软件开发服务,而涉事软件中含有恶意代码。事件的背后,是一个名为Magecart的威胁组织发起的攻击行动。研究人员发现,Magecart通过在第三方组件和服务上安装恶意代码攻击了全球800多家电子商务网站。
四、百余家制造企业商业机密泄露
今年夏天,包括通用汽车、菲亚特克莱斯勒、福特、特斯拉、丰田和大众在内的100多家制造企业因第三方泄露重要商业机密而受到打击。这起事故是由一家名为Level One Robotics的公司引起的,这家公司提供工业自动化服务。研究人员发现,曝光来自rsync,这是一种用于备份大型数据集的通用文件传输协议,因rsync服务器没有受到限制,连接到rsync端口的任何rsync客户端都有权下载此数据。此事件将157GB的数据置于危险之中,其中包括装配线结构图、工厂平面图、机器人配置和文档。
五、4.5万份患者就医记录泄露
Nuance是语音识别软件的第三方提供商,为医疗机构提供医疗转录服务。今年5月,因系统漏洞,导致包括旧金山卫生局和加州大学圣迭戈分校在内的客户信息泄露,曝光了4.5万份患者记录。
六、消费者敏感信息泄露
第三方在线聊天和支持服务提供商-[24]7.AI,在今年导致了包括西尔斯、达美航空和百思买在内的多个主要品牌的消费者PII记录被曝光。包含消费者的姓名、地址、信用卡号码、CVV号码信息。
对第三方安全风险进行管理
相比企业内部的风险管理,对第三方风险管理更具有挑战性,对拥有成百上千供应商的组织来说,更是如此。2018年6月,“安全值”联合“供应链安全联盟”发布了《第三方安全风险管理能力框架》,文中提到“第三方是组织的扩展,其行为可以直接影响到合规性和品牌声誉。这就要求企业对几十个,几百个甚至数千个第三方进行调查,评估和后续跟进,并对风险采取行动。第三方风险管理能力将应用于从合同签订之前到合同执行过程中一直到合同完成之后整个生命周期,并且在数字化环境下,风险控制需要得到领导充分的重视和支持,经多个业务和职能部门的协同来完成。”可见,对第三方合作伙伴的风险管理,任重而道远,过程更需要科学的方法。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】