2018年大大小小的安全事件中，數(shù)據(jù)泄露最為引人關(guān)注，其中因第三方導(dǎo)致的泄露事件不占少數(shù)。無(wú)論是由于服務(wù)提供者所管理的在線資源配置不當(dāng)、還是不安全的第三方軟件，或是與第三方不安全通信渠道，如果組織并未有足夠地關(guān)注與防范，那么與第三方合作可能會(huì)使組織面臨巨大的風(fēng)險(xiǎn)。

[[245032]]

以下六個(gè)事件，說(shuō)明了缺乏對(duì)合作伙伴和供應(yīng)商的風(fēng)險(xiǎn)管理會(huì)帶來(lái)怎樣嚴(yán)重的后果。

一、信用卡申請(qǐng)人數(shù)據(jù)泄露

最近發(fā)生的安全事件，美國(guó)銀行信用卡發(fā)行商TCM Bank公開(kāi)消息，由于第三方供應(yīng)商管理的網(wǎng)站配置錯(cuò)誤，導(dǎo)致在2017年3月初至2018年7月中旬之間暴露了長(zhǎng)達(dá)16個(gè)月的信用卡申請(qǐng)人數(shù)據(jù)(包含姓名、地址、出生日期、社會(huì)安全號(hào)碼)。事后，TCM Bank要求供應(yīng)商查看他們的技術(shù)和程序，以防止類(lèi)似問(wèn)題的發(fā)生。

二、數(shù)百萬(wàn)客戶(hù)郵件地址暴露

今年6月，賽門(mén)鐵克的身份保護(hù)服務(wù)Lifelock出現(xiàn)了一件尷尬的事情:該公司發(fā)現(xiàn)，網(wǎng)站上的一個(gè)漏洞暴露了數(shù)百萬(wàn)客戶(hù)的電子郵件地址，而問(wèn)題出在由第三方負(fù)責(zé)管理的網(wǎng)站頁(yè)面。

三、消費(fèi)者個(gè)人信息及銀行卡數(shù)據(jù)泄露

活動(dòng)票務(wù)巨頭公司Ticketmaster爆出數(shù)據(jù)泄露事件，包含用戶(hù)個(gè)人信息和銀行卡數(shù)據(jù)，事件影響近5%的全球用戶(hù)。事件是由第三方服務(wù)商Inbenta Technologie引起的，Inbenta Technologies為T(mén)icketmaster提供軟件開(kāi)發(fā)服務(wù)，而涉事軟件中含有惡意代碼。事件的背后，是一個(gè)名為Magecart的威脅組織發(fā)起的攻擊行動(dòng)。研究人員發(fā)現(xiàn)，Magecart通過(guò)在第三方組件和服務(wù)上安裝惡意代碼攻擊了全球800多家電子商務(wù)網(wǎng)站。

四、百余家制造企業(yè)商業(yè)機(jī)密泄露

今年夏天，包括通用汽車(chē)、菲亞特克萊斯勒、福特、特斯拉、豐田和大眾在內(nèi)的100多家制造企業(yè)因第三方泄露重要商業(yè)機(jī)密而受到打擊。這起事故是由一家名為L(zhǎng)evel One Robotics的公司引起的，這家公司提供工業(yè)自動(dòng)化服務(wù)。研究人員發(fā)現(xiàn)，曝光來(lái)自rsync，這是一種用于備份大型數(shù)據(jù)集的通用文件傳輸協(xié)議，因rsync服務(wù)器沒(méi)有受到限制，連接到rsync端口的任何rsync客戶(hù)端都有權(quán)下載此數(shù)據(jù)。此事件將157GB的數(shù)據(jù)置于危險(xiǎn)之中，其中包括裝配線結(jié)構(gòu)圖、工廠平面圖、機(jī)器人配置和文檔。

五、4.5萬(wàn)份患者就醫(yī)記錄泄露

Nuance是語(yǔ)音識(shí)別軟件的第三方提供商，為醫(yī)療機(jī)構(gòu)提供醫(yī)療轉(zhuǎn)錄服務(wù)。今年5月，因系統(tǒng)漏洞，導(dǎo)致包括舊金山衛(wèi)生局和加州大學(xué)圣迭戈分校在內(nèi)的客戶(hù)信息泄露，曝光了4.5萬(wàn)份患者記錄。

六、消費(fèi)者敏感信息泄露

第三方在線聊天和支持服務(wù)提供商-[24]7.AI，在今年導(dǎo)致了包括西爾斯、達(dá)美航空和百思買(mǎi)在內(nèi)的多個(gè)主要品牌的消費(fèi)者PII記錄被曝光。包含消費(fèi)者的姓名、地址、信用卡號(hào)碼、CVV號(hào)碼信息。

對(duì)第三方安全風(fēng)險(xiǎn)進(jìn)行管理

相比企業(yè)內(nèi)部的風(fēng)險(xiǎn)管理，對(duì)第三方風(fēng)險(xiǎn)管理更具有挑戰(zhàn)性，對(duì)擁有成百上千供應(yīng)商的組織來(lái)說(shuō)，更是如此。2018年6月，“安全值”聯(lián)合“供應(yīng)鏈安全聯(lián)盟”發(fā)布了《第三方安全風(fēng)險(xiǎn)管理能力框架》，文中提到“第三方是組織的擴(kuò)展，其行為可以直接影響到合規(guī)性和品牌聲譽(yù)。這就要求企業(yè)對(duì)幾十個(gè)，幾百個(gè)甚至數(shù)千個(gè)第三方進(jìn)行調(diào)查，評(píng)估和后續(xù)跟進(jìn)，并對(duì)風(fēng)險(xiǎn)采取行動(dòng)。第三方風(fēng)險(xiǎn)管理能力將應(yīng)用于從合同簽訂之前到合同執(zhí)行過(guò)程中一直到合同完成之后整個(gè)生命周期，并且在數(shù)字化環(huán)境下，風(fēng)險(xiǎn)控制需要得到領(lǐng)導(dǎo)充分的重視和支持，經(jīng)多個(gè)業(yè)務(wù)和職能部門(mén)的協(xié)同來(lái)完成。”可見(jiàn)，對(duì)第三方合作伙伴的風(fēng)險(xiǎn)管理，任重而道遠(yuǎn)，過(guò)程更需要科學(xué)的方法。

【本文是51CTO專(zhuān)欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文