從塔吉特到Ashley Madison，我們已經(jīng)見識到與第三方的交互會怎樣將彈性環(huán)境——設備、服務、應用自由進出的環(huán)境，轉(zhuǎn)變成一個后門密布，黑客可輕易滲透進公司網(wǎng)絡的不穩(wěn)定空間。以下便是與第三方合作相關(guān)的5大威脅：

[[152577]]

威脅1 共享憑證

這是我們在大型企業(yè)中遭遇的最危險的身份驗證方式之一。設想有那么一個服務，不經(jīng)常使用，卻要求某種形式的基于憑證的身份驗證。隨時間推移，這個服務的用戶發(fā)生了改變，但出于方便考慮，憑證卻一直未變。該服務目前可出于多種目的，在多個地點，用不同設備登錄。僅僅需要一個笨拙的用戶上了憑證獲取技術(shù)的當，該服務以及該服務的后續(xù)登錄用戶就萬劫不復了。

公司內(nèi)部的共享服務，從數(shù)據(jù)庫到通信協(xié)議，都能成為想延伸觸角獲取目標網(wǎng)絡更多訪問權(quán)的惡意黑客的主要目標。持續(xù)的用戶行為監(jiān)視讓系統(tǒng)管理員可以通過個體身份驗證協(xié)議映射和關(guān)聯(lián)所有異常用戶訪問事件來預防此種類型的服務濫用。無論共享憑證在你的網(wǎng)絡里是不是司空見慣，能近實時地識別出它可能是你公司網(wǎng)絡有潛在信息泄露的跡象。

威脅2 無規(guī)律訪問

將內(nèi)部憑證授權(quán)給合作伙伴的公司必須確信他們是長期而慎重的合作關(guān)系。管理和監(jiān)控受信外部人士可能會是擺脫不掉的麻煩，尤其涉及試圖分辨一個賬戶是否被黑的時候。賬戶和資源使用的無規(guī)律頻繁變化，再加上對IT策略和規(guī)程的不熟悉，導致警報激增。

對合作公司或者重要內(nèi)容或服務提供商賦予信任應該始于將終端用戶的可能使用方式完全同化進公司。這意味著聯(lián)合員工培訓、嚴密監(jiān)控的固定用戶列表，以及預定義的參與用例。所有這些將有助于確保一旦懷疑有被黑憑證不當使用的狀況，你的安全運營中心(SOC)有能力識別并修復該問題。

威脅3 聯(lián)合云

很多公司開始著手部署云驅(qū)動的安全解決方案。盡管云應用使用規(guī)程已經(jīng)受到廣泛關(guān)注，我們?nèi)匀豢吹接懈嗟膹碗s規(guī)程建立在傳統(tǒng)環(huán)境和新興云之間，形成了另一個待解決的空間。著眼未來，我們建議采用跨環(huán)境身份驗證協(xié)議和能夠更細粒度監(jiān)視這不斷進化的攻擊界面的措施。

認識到允許受信外部人士訪問內(nèi)部網(wǎng)絡的固有弱點，安全運營中心需要對這些攻擊界面投以特別關(guān)注。

威脅4 公共互聯(lián)網(wǎng)接入

接入互聯(lián)網(wǎng)且允許第三方遠程登錄的設備簡直就是攻擊者夢寐以求的大獎。采用社會工程和其他欺騙手段，攻擊者可以拿到你共享工作站的初始訪問權(quán)，并基于這一最初立足點滲透進你的網(wǎng)絡中。

采用安全遠程連接協(xié)議并在工作站上應用額外的監(jiān)視層將減輕外部非授權(quán)訪問的可能性，還可能在外部人士試圖在你周邊建立據(jù)點的時候提供有價值的情報。

威脅5 特權(quán)賬戶

特權(quán)賬戶可供內(nèi)部不法分子和惡意外部人士安全獲取敏感資源和/或修改自身訪問級別。這正是特權(quán)賬戶應該像提供給受信外部人士的賬戶一樣在共享訪問工作站上被隱藏或禁用。

盡管由于大多數(shù)外部訪問權(quán)授予的是需要某種程度的較高權(quán)限以提供服務或技術(shù)的團體而往往不可能真的禁用特權(quán)賬戶，我們建議在這些設備上建立目的明確的訪問組以保證域控規(guī)則和其他方面都能輔助實時發(fā)現(xiàn)異常。