在一個相互連接的世界中，沒有哪家企業(yè)是身處孤島之上的。所有企業(yè)都不得不與第三方(外部廠商、承包商、關(guān)聯(lián)企業(yè)、合作伙伴以及其他人)發(fā)生多重關(guān)系。

這對于成長中的企業(yè)來說當然是件好事，但是對于企業(yè)的安全來說也是一件非常糟糕的事情。眾多專家認為，如今粗心大意的內(nèi)部人員是安全鏈條中最薄弱的一環(huán)，第三方承包商(其也有漫不經(jīng)心的內(nèi)部人)也成了最薄弱的一環(huán)。婉轉(zhuǎn)一點地說，這些都是企業(yè)安全領(lǐng)域的主要“痛點”。

美國俄亥俄州著名律所FI&C最近為網(wǎng)絡(luò)風險評估服務公司NetDiligence提供的一份白皮書表明，防火墻、用戶認證和強密碼固然很重要，但它們所提供的安全保護卻是遠遠不完備的。

這份白皮書的標題很長，叫做《我們中間的叛徒：物聯(lián)網(wǎng)時代由職員、承包商和第三方導致的風險以及深度安全對風險管理來說至關(guān)重要的原因剖析》。其作者Ron Raether和Scot Ganow寫道，數(shù)量不斷增加的網(wǎng)絡(luò)接入點對于企業(yè)來說，“就像是在防火墻上鑿開了成百上千個城門。盡管這些城門都有衛(wèi)兵把守，但基本上可容許任何經(jīng)過改頭換面的數(shù)據(jù)包(可以想象一張沒有貼上職員照片的工作牌)通過城墻。”

去年12月，零售商Target所發(fā)生的重大數(shù)據(jù)泄露事件，其實就是源于其承包商的一封被釣魚網(wǎng)站攻擊的郵件。Target承包商的一位職員不小心點擊了一個惡意鏈接，結(jié)果便使得Target的數(shù)百萬條用戶信用卡信息外泄。

SailPoint負責產(chǎn)品管理的副總裁Paul Trulove還提到了另一起類似事件。“這類騙局太多了，在電信和IT行業(yè)尤其如此。就在前不久，AT&T就因為一家第三方廠商的緣故而導致其移動客戶的個人信息外泄，”他說，“缺口就在于允許服務提供商的員工訪問其客戶賬戶信息，包括客戶的生日和社會保險號。”

這早已不是什么新問題了。零點風險分析公司的CEO兼首席分析師MacDonnell Ulsch一年前就曾說過：“在幾乎每一次的成功網(wǎng)絡(luò)攻擊中，毫無例外地都會牽扯到一家第三方廠商或者關(guān)聯(lián)企業(yè)。”

產(chǎn)生這種痛點的原因很多。全球網(wǎng)絡(luò)風險(Global Cyber Risk)公司的CEO Jody Westby指出，一個主要的原因就是：絕大多數(shù)企業(yè)幾乎從未關(guān)注過與之簽過合同的第三方關(guān)聯(lián)者的安全問題。“很多企業(yè)現(xiàn)在只是剛剛開始著手解決與IT功能和業(yè)務流程外包相關(guān)的安全管理問題，”她說。

“企業(yè)發(fā)現(xiàn)，在要求其供應商采取必要的安全措施上，他們很少有議價能力。而第三方市場早在客戶想到要將采取安全措施納入第三方服務合同條款之前就已經(jīng)很興旺了。于是現(xiàn)實情況就成了第三方服務商成了攻擊者口中的一塊肥肉，”她說。

再一個原因是第三方的網(wǎng)絡(luò)接入無法像跟蹤本企業(yè)員工那樣進行常規(guī)跟蹤。Ulsch說：“這得看彼此合作關(guān)系的長短以及個人之間的親密程度，第三方的信任等級有時候可以達到甚至超過內(nèi)部人員的信任度。”

Trulove對此也表示贊同。“他們是不拿薪水的職員，所以常常會繞過人力部門進入企業(yè)，因此無法通過任何集中管理系統(tǒng)來進行跟蹤。具有諷刺意味的是，很多承包商的訪問權(quán)限與企業(yè)長期雇員的一樣，某些情況下，比如當他們承接了某個IT功能外包任務時，其權(quán)限等級甚至更高。”

第三個原因是，外部人員經(jīng)常會攜帶自己的硬件和軟件進入客戶企業(yè)工作，這種情況已然存在并將繼續(xù)存在。而這在其他網(wǎng)絡(luò)中很可能是不安全的，也就是被安全專家們視為“衛(wèi)生極差”的情況。

此種狀況還可能由于企業(yè)在外包其服務時往往只關(guān)注成本而不關(guān)注安全而加劇。利維坦安全集團的高級安全咨詢師James Arlen稱：“企業(yè)在外包時追求的是價廉物美，但這往往會使外包成為最薄弱的安全環(huán)節(jié)。”

據(jù)Trulove說，使用第三方服務的情況越來越多。他列舉了一些統(tǒng)計數(shù)字，表明在企業(yè)工作的承包商職員已從上世紀80年代的不到0.5%上升到了現(xiàn)在的2.3%;今年有42%的雇主希望聘用臨時工或者合同工——這一數(shù)字在過去五年間上漲了14%。

至于如何降低此類風險，方法其實也很多。最基本的就是在企業(yè)與其承包商購買的每臺聯(lián)網(wǎng)設(shè)備上經(jīng)常修改密碼，并且同時進行風險和多要素認證。諸如此類的要求被Arlen稱為“信息安全的101條款”。

顯然，要實現(xiàn)良好的安全并不是很困難，他認為，“過去15年來我們其實早已知道該怎么做，但就是沒有認真去做。”

除了基礎(chǔ)性要求之外，專家們認為應強制要求企業(yè)對其與第三方簽訂的合同予以更密切的關(guān)注，也就是遵從服務等級協(xié)議(SLA)或業(yè)務關(guān)聯(lián)協(xié)議(BAA)。

Ulsch認為，企業(yè)所簽訂的第三方合同至少要包含如下內(nèi)容：

⦁信息安全;

⦁信息隱私;

⦁威脅與風險分析;

⦁履約義務涵蓋范圍;

⦁違規(guī)處罰機制;

⦁內(nèi)部審計與信息披露要求;

⦁國外腐敗行為管理。

Raether和Ganow則建議BAA條款應要求第三方廠商遵循企業(yè)內(nèi)部所遵循的相同的安全框架。而且，在適當?shù)臈l件下，企業(yè)應確保擁有審計其第三方承包商的權(quán)利，然后實際完成這樣的審計。

Trulove也提出了幾項建議，他稱之為“基于身份管理的治理策略”，其中包括：

⦁“持續(xù)地審查哪些信息承包商可以訪問，確保這些信息對他們的工作來說是確實需要的。要做到這一點，企業(yè)需要一個系統(tǒng)，對網(wǎng)絡(luò)接入進行集中的可視化管理。”

⦁“由于承包商可能給企業(yè)網(wǎng)絡(luò)帶來更大的安全風險，因此需要創(chuàng)建一個身份風險模型，以便更好地了解痛點在哪里。而了解諸如承包商是否還在同時承包你的競爭對手的業(yè)務這樣的細節(jié)也是非常重要的。”

⦁“一旦合同終止，務必盡快清理接入環(huán)境。只是簡單地切斷網(wǎng)絡(luò)接入是不夠的。還需要放置一個自動化系統(tǒng)來終止所有可能的第三方接入，就像企業(yè)在辭退員工時所做的那樣。在合同工入職期間，需掌握合同期限及其性質(zhì)，從而使終止接入屆時自動生效。”

但即便做到了這一切，Ulsch指出，保護信息的完整性仍然是企業(yè)的首要職責。“盡管有各種法規(guī)可能會追究第三方的責任，但永遠不要將法規(guī)遵從的責任拱手讓于他人。”

最后，Arlen認為，BAA或SLA存在一個較大的缺陷，那就是這些協(xié)議常常“只關(guān)注具體的合規(guī)性——可能是PCI或HIPAA，這本身就是不安全的。”

“修補此缺陷的辦法就是所謂的元合規(guī)(meta-comliance)，要的是實際的安全而非安全秀，”他說。