在一個相互連接的世界中，沒有哪家企業(yè)是身處孤島之上的。所有企業(yè)都不得不與第三方(外部廠商、承包商、關(guān)聯(lián)企業(yè)、合作伙伴以及其他人)發(fā)生多重關(guān)系。

這對于成長中的企業(yè)來說當(dāng)然是件好事，但是對于企業(yè)的安全來說也是一件非常糟糕的事情。眾多專家認(rèn)為，如今粗心大意的內(nèi)部人員是安全鏈條中最薄弱的一環(huán)，第三方承包商(其也有漫不經(jīng)心的內(nèi)部人)也成了最薄弱的一環(huán)。婉轉(zhuǎn)一點(diǎn)地說，這些都是企業(yè)安全領(lǐng)域的主要“痛點(diǎn)”。

美國俄亥俄州著名律所FI&C最近為網(wǎng)絡(luò)風(fēng)險評估服務(wù)公司NetDiligence提供的一份白皮書表明，防火墻、用戶認(rèn)證和強(qiáng)密碼固然很重要，但它們所提供的安全保護(hù)卻是遠(yuǎn)遠(yuǎn)不完備的。

這份白皮書的標(biāo)題很長，叫做《我們中間的叛徒：物聯(lián)網(wǎng)時代由職員、承包商和第三方導(dǎo)致的風(fēng)險以及深度安全對風(fēng)險管理來說至關(guān)重要的原因剖析》。其作者Ron Raether和Scot Ganow寫道，數(shù)量不斷增加的網(wǎng)絡(luò)接入點(diǎn)對于企業(yè)來說，“就像是在防火墻上鑿開了成百上千個城門。盡管這些城門都有衛(wèi)兵把守，但基本上可容許任何經(jīng)過改頭換面的數(shù)據(jù)包(可以想象一張沒有貼上職員照片的工作牌)通過城墻。”

去年12月，零售商Target所發(fā)生的重大數(shù)據(jù)泄露事件，其實(shí)就是源于其承包商的一封被釣魚網(wǎng)站攻擊的郵件。Target承包商的一位職員不小心點(diǎn)擊了一個惡意鏈接，結(jié)果便使得Target的數(shù)百萬條用戶信用卡信息外泄。

SailPoint負(fù)責(zé)產(chǎn)品管理的副總裁Paul Trulove還提到了另一起類似事件。“這類騙局太多了，在電信和IT行業(yè)尤其如此。就在前不久，AT&T就因?yàn)橐患业谌綇S商的緣故而導(dǎo)致其移動客戶的個人信息外泄，”他說，“缺口就在于允許服務(wù)提供商的員工訪問其客戶賬戶信息，包括客戶的生日和社會保險號。”

這早已不是什么新問題了。零點(diǎn)風(fēng)險分析公司的CEO兼首席分析師MacDonnell Ulsch一年前就曾說過：“在幾乎每一次的成功網(wǎng)絡(luò)攻擊中，毫無例外地都會牽扯到一家第三方廠商或者關(guān)聯(lián)企業(yè)。”

產(chǎn)生這種痛點(diǎn)的原因很多。全球網(wǎng)絡(luò)風(fēng)險(Global Cyber Risk)公司的CEO Jody Westby指出，一個主要的原因就是：絕大多數(shù)企業(yè)幾乎從未關(guān)注過與之簽過合同的第三方關(guān)聯(lián)者的安全問題。“很多企業(yè)現(xiàn)在只是剛剛開始著手解決與IT功能和業(yè)務(wù)流程外包相關(guān)的安全管理問題，”她說。

“企業(yè)發(fā)現(xiàn)，在要求其供應(yīng)商采取必要的安全措施上，他們很少有議價能力。而第三方市場早在客戶想到要將采取安全措施納入第三方服務(wù)合同條款之前就已經(jīng)很興旺了。于是現(xiàn)實(shí)情況就成了第三方服務(wù)商成了攻擊者口中的一塊肥肉，”她說。

再一個原因是第三方的網(wǎng)絡(luò)接入無法像跟蹤本企業(yè)員工那樣進(jìn)行常規(guī)跟蹤。Ulsch說：“這得看彼此合作關(guān)系的長短以及個人之間的親密程度，第三方的信任等級有時候可以達(dá)到甚至超過內(nèi)部人員的信任度。”

Trulove對此也表示贊同。“他們是不拿薪水的職員，所以常常會繞過人力部門進(jìn)入企業(yè)，因此無法通過任何集中管理系統(tǒng)來進(jìn)行跟蹤。具有諷刺意味的是，很多承包商的訪問權(quán)限與企業(yè)長期雇員的一樣，某些情況下，比如當(dāng)他們承接了某個IT功能外包任務(wù)時，其權(quán)限等級甚至更高。”

第三個原因是，外部人員經(jīng)常會攜帶自己的硬件和軟件進(jìn)入客戶企業(yè)工作，這種情況已然存在并將繼續(xù)存在。而這在其他網(wǎng)絡(luò)中很可能是不安全的，也就是被安全專家們視為“衛(wèi)生極差”的情況。

此種狀況還可能由于企業(yè)在外包其服務(wù)時往往只關(guān)注成本而不關(guān)注安全而加劇。利維坦安全集團(tuán)的高級安全咨詢師James Arlen稱：“企業(yè)在外包時追求的是價廉物美，但這往往會使外包成為最薄弱的安全環(huán)節(jié)。”

據(jù)Trulove說，使用第三方服務(wù)的情況越來越多。他列舉了一些統(tǒng)計(jì)數(shù)字，表明在企業(yè)工作的承包商職員已從上世紀(jì)80年代的不到0.5%上升到了現(xiàn)在的2.3%;今年有42%的雇主希望聘用臨時工或者合同工——這一數(shù)字在過去五年間上漲了14%。

至于如何降低此類風(fēng)險，方法其實(shí)也很多。最基本的就是在企業(yè)與其承包商購買的每臺聯(lián)網(wǎng)設(shè)備上經(jīng)常修改密碼，并且同時進(jìn)行風(fēng)險和多要素認(rèn)證。諸如此類的要求被Arlen稱為“信息安全的101條款”。

顯然，要實(shí)現(xiàn)良好的安全并不是很困難，他認(rèn)為，“過去15年來我們其實(shí)早已知道該怎么做，但就是沒有認(rèn)真去做。”

除了基礎(chǔ)性要求之外，專家們認(rèn)為應(yīng)強(qiáng)制要求企業(yè)對其與第三方簽訂的合同予以更密切的關(guān)注，也就是遵從服務(wù)等級協(xié)議(SLA)或業(yè)務(wù)關(guān)聯(lián)協(xié)議(BAA)。

Ulsch認(rèn)為，企業(yè)所簽訂的第三方合同至少要包含如下內(nèi)容：

⦁信息安全;

⦁信息隱私;

⦁威脅與風(fēng)險分析;

⦁履約義務(wù)涵蓋范圍;

⦁違規(guī)處罰機(jī)制;

⦁內(nèi)部審計(jì)與信息披露要求;

⦁國外腐敗行為管理。

Raether和Ganow則建議BAA條款應(yīng)要求第三方廠商遵循企業(yè)內(nèi)部所遵循的相同的安全框架。而且，在適當(dāng)?shù)臈l件下，企業(yè)應(yīng)確保擁有審計(jì)其第三方承包商的權(quán)利，然后實(shí)際完成這樣的審計(jì)。

Trulove也提出了幾項(xiàng)建議，他稱之為“基于身份管理的治理策略”，其中包括：

⦁“持續(xù)地審查哪些信息承包商可以訪問，確保這些信息對他們的工作來說是確實(shí)需要的。要做到這一點(diǎn)，企業(yè)需要一個系統(tǒng)，對網(wǎng)絡(luò)接入進(jìn)行集中的可視化管理。”

⦁“由于承包商可能給企業(yè)網(wǎng)絡(luò)帶來更大的安全風(fēng)險，因此需要創(chuàng)建一個身份風(fēng)險模型，以便更好地了解痛點(diǎn)在哪里。而了解諸如承包商是否還在同時承包你的競爭對手的業(yè)務(wù)這樣的細(xì)節(jié)也是非常重要的。”

⦁“一旦合同終止，務(wù)必盡快清理接入環(huán)境。只是簡單地切斷網(wǎng)絡(luò)接入是不夠的。還需要放置一個自動化系統(tǒng)來終止所有可能的第三方接入，就像企業(yè)在辭退員工時所做的那樣。在合同工入職期間，需掌握合同期限及其性質(zhì)，從而使終止接入屆時自動生效。”

但即便做到了這一切，Ulsch指出，保護(hù)信息的完整性仍然是企業(yè)的首要職責(zé)。“盡管有各種法規(guī)可能會追究第三方的責(zé)任，但永遠(yuǎn)不要將法規(guī)遵從的責(zé)任拱手讓于他人。”

最后，Arlen認(rèn)為，BAA或SLA存在一個較大的缺陷，那就是這些協(xié)議常常“只關(guān)注具體的合規(guī)性——可能是PCI或HIPAA，這本身就是不安全的。”

“修補(bǔ)此缺陷的辦法就是所謂的元合規(guī)(meta-comliance)，要的是實(shí)際的安全而非安全秀，”他說。