應對數字化環境下面臨的供應鏈網路威脅

當前經濟環境下，互聯網技術的發展和廣泛應用使傳統商業模式產生顛覆性變革。在營銷拓展、生產製造、運營服務、資源整合等方面都開啟了一種全新的經營模式。企業數字化轉型過程中，數據成為了企業的燃料，除了要應用好數據，還要對其進行保護，客戶數據對黑產和競爭對手的吸引力極高，並且監管部門也對敏感數據/個人身份信息PII的保護越來越重視。

從數據的流轉過程來看，一方面，數據在企業的內部運作時，信息系統、企業員工都可以接觸到敏感數據；另一方面，數據也在外部流轉，更多供應商和合夥夥伴也可以接觸到敏感數據。當有人利用外部夥伴或供應商竊取您的數據時，就會發生供應鏈攻擊，這也是第三方威脅，這改變了數字化轉型之前傳統企業模式的攻擊面。並且數據在外部第三方合作夥伴或供應商應用過程中，企業是完全不可控的狀態，第三方是數字化轉型企業生態系統中最薄弱的環節。

第三方引起數據泄露事件和監管要求

由於第三方供應商導致的案例並不是少數，2013年零售巨頭塔吉特Target因第三方HVAC供應商導致上億用戶信息泄漏，預計損失成本為2.92億美元；2014年美國最大的家庭裝飾品與建材零售商家得寶HomeDepot因黑客利用第三方供應商的網路入侵到網路中去的，植入惡意程序導致數據泄露，預計損失成本為1.98億美元； 2017年7月，Verizon公司超過1400萬用戶個人資料因第三方供應商NICE Systems雲伺服器安全配置不當遭到外泄。

2017年，美國徵信巨頭Equifax公司1.45億客戶記錄被泄，股票暴跌30%，包括CEO在內的多名高管離職，並且影響到任何與Equifax有互動的公司，Visa和MasterCard第一批出來聲明自家數據可能在Equifax事件中被盜的。

這些事件的發生也並不是個例，Ponemon Institute 的一項研究報告顯示，發生數據泄露的企業中56%是由他們的供應商造成的，而客戶並不關心是因為供應商而丟失數據還是企業自身的原因。

監管部門對敏感數據或隱私的保護越來越關心，歐盟提出《一般數據保護法案》GDPR，適用於從歐洲收集個人信息的所有公司，罰款最高到全球總收入的4%。谷歌因GDPR合規問題被開出27.3億美元罰單。在我國，《中華人民共和國網路安全法》自2017年6月1日起已經實施，提出了個人信息保護的要求，並且《個人信息保護條例》也正在制定當中。在《國家網路安全空間戰略》中也提出「加強供應鏈安全管理」

供應鏈網路威脅範圍

和企業合作開展生產、營銷、管理等業務的大量合作夥伴/供應商越來越多，他們使用著企業的數據，但是敏感數據和隱私的保護狀況對企業來說確並不知曉，第三方風險正處在失控狀態。Gartner 預測2018年企業重要的數字合作夥伴最高將達到143個（2017年是78個），Ponemon Institute 2017年的研究報告中顯示：「能夠接觸敏感信息的第三方平均數量比去年增加了25%（從378個增加到471個）」。

以下舉例說明了哪些第三方需要進行管理：

• DMP服務商、數字廣告投放服務商、廣告跟蹤服務商；
• 渠道商、分銷商、代理商；
• 公有雲、行業雲提供商；
• 獨立軟體開發商 ISV；
• 物流公司、客服公司；
• 健康醫療機構、法律諮詢機構。

如何管理第三方供應商風險

專家指出，如果一家公司對所有供應商的安全和隱私策略進行評估，泄露的可能性可以從66%下降到46%。這需要覆蓋所有供應商，雖然其中較好的供應商可能已經具備了詳細的網路安全防禦措施。但是，較小的供應商組織並沒有相同級別的網路安全控制措施，甚至連安全負責人和基本的安全意識都沒有。

企業和供應商之間應達成協議，在SLA中包含安全要求，明確數據所有權和安全責任，要求供應商履行他們對安全的承諾。並要求這些第三方供應商對他們的夥伴（第四方）也實施類似的控制。

要求供應商進行自評估，並反饋他們的評估結果，要求供應商同意開展審計工作，可以採用調查問卷的形式進行，這種自評估是靜態且主觀性的方式，利用對外部威脅情報數據的分析結果可以進行驗證和作為客觀性的補充。

深入的供應商現場安全評估，企業可以結合供應商接觸敏感數據的程度判斷重要性，同時結合對外部大數據分析的結果來初步判斷安全性，綜合重要性和安全性來選擇對供應商的管理策略。例如對重要性高且安全性較差的供應商進行深入的現場安全調查。並在現場進行安全測試，對內部安全策略和流程進行評估，了解從數據採集、存儲、傳輸到最後銷毀全生命周期，了解數據是如何流轉和如何受到保護的。這些對供應商的調查工作一般會由企業負責數字化的業務部門（如電子商務）、合規部門、採購部門、安全部門聯合開展。

建立供應商安全持續監測和安全評價，Gartner在2016年定義了一項新興技術——Security Rating Service（SRS），基於事實數據進行獨立、定量、持續的安全評價服務。

國際上有幾家提供安全評級的組織，例如：BitSight Technologies 、SecurityScorecard 、Riskrecon；國內也看到像 「安全值」 這樣的新興服務。基於問卷的評估是很重要的，但不夠充分，因為它們是靜態和主觀的。定期現場評估測試費用更加昂貴，並且不夠及時。為了主動降低風險，企業需要藉助這樣的自動化工具，持續的監測和評估，並完成供應商的安全評分。第三方/供應商風險管理是Security Rating Service 很重要的應用場景，實現企業與供應商一起持續地了解相關的風險。

建立完整的供應商信息安全風險管理流程，OCEG是一個提供企業治理、風險與合規GRC解決方案的非贏利組織，其2017年發布了一份研究成果《對於管理第三方信息安全的步驟與方法分析》。研究顯示 「 2015年，網路攻擊為企業帶來超過4000億美元的經濟損失，其中超過2/3的攻擊是通過處理企業或客戶數據的第三方合作夥伴實現的，因此有效控制企業供應商風險對於存在外部擴展業務的企業至關重要。完成上述風險管理工作就需要驗證、修復和監控第三方控制的有效性，這需要使用複雜且基於任務設計的技術支撐。定義了該流程的關鍵步驟，並對第三方安全管理的發展做出了一些預測。」

該流程一共分為7個步驟指導企業在簽約、續約前，第三方關係發生變化或到達考核期應觸發企業的第三方息安全風險管理流程。

1.分析第三方帶來的風險分析和供應商分類

識別第三方服務類型和重要性，基於風險層次來定義對第三方進行盡職調查的頻率、方式，包括遠程驗證、現場驗證，對於低風險的供應商可以接受問卷的回復而無需進行盡職調查。

2.確定供應商風險範圍

根據每個第三方觸及的數據、系統、提供的服務（例如：敏感數據處理、軟體開發、雲服務、基礎設施等）映射到需要的控制措施，評估每種關係的固有風險和服務的關鍵性。

3.收集證據

獲取問卷調查結果和相關文件作為評估第三方控制有效性的證據，結合客觀事實的「公開數據」（例如威脅情報數據），可以對低風險的第三方結果進行自動審核以減少工作負擔。

4.評估風險

通過文件分析、技術驗證、現場評估手段確認供應商所需的安全控制措施到位，評估控制策略和運行效果。

5.修復

標記無效控制識別安全問題，並跟蹤必要的安全問題整改的情況，完成整改之後進行複查。例如：發現數據訪問許可權過大，任何角色都可以訪問資料庫，供應商需要主動將工作計劃和整改進度進行反饋。

6.報告

報告殘餘風險和補救措施，以遍讓董事會、管理層等相關利益方都可以了解。一般涉及到IT風險管理部門、供應商管理部門、和供應商合作的業務部門、合規部門。

7.監控

對供應商進行SLA、安全事件、安全漏洞和安全狀況變化的監控，在重新分類和更新評估結果時進行風險提醒。通過對威脅情報和外部數據的分析，可以從外部視角觀察到供應商的互聯網資產、安全事件和脆弱性三類信息，包括域名、主機、IP網路、雲服務網路、殭屍網路、DDOS攻擊、惡意代碼、垃圾郵件、黑名單、安全漏洞、開放埠、安全配置缺失等信息。

目前金融、教育、醫療、快消品、生產製造行業對客戶數據的敏感性都非常高，並且在數字化轉型過程中必然和大量的第三方進行合作，第三方風險不容忽視，有效管理需要一種新的方法，使企業在他們的數字生態系統中了解風險，定製自己的控制措施，第三方的安全意識、能力、資源都相對較弱，需要共同修復和減輕這些風險。