建立一套第三方廠商風險管理計畫來保護您的供應鏈

企業 開會 會議

 

過去二十多年來,科技的發展、全球化的浪潮,以及網際網路的普及,已徹底改變了企業的運作方式及效率。其中受益最深的領域之一就是供應鏈管理。現在,企業可以輕易地和全球各地的供應商及廠商合作。但不幸的是,受益的不光只有企業而已,還有網路犯罪集團及其活動網路,包括:深層網路(Deep Web)及黑暗網路 (Dark Web)。撇開動機不談,駭客的攻擊手法一年比一年更加精進。光從外洩的資料量看來,就足以讓人瞠目結舌,更何況沒有任何產業可以倖免。

隨著企業開始仰賴高度網路化的外包供應鏈模式,網路犯罪集團也開始擁有新的攻擊管道,使得企業遭受威脅的攻擊面大增。網路犯罪地下市場的技術能量持續在累積,連帶使得駭客們的技術能力不斷提升。我們已見識過駭客的精密攻擊工具,也見識過駭客如何針對供應鏈及第三方合作廠商的漏洞發動攻擊。

今日供應鏈的錯綜複雜真是難以想像,因此,一些很簡單的供應鏈風險管理 (SCRM) 策略已開始捉襟見肘。這一點,我們從一些企業及政府機構所遭到的精密攻擊即可看出,而且這樣的情形似乎已經成為常態。網路攻擊事件不再只是少數例外,一些 SCRM 的專家已經開始倡導所謂「供應鏈永續性」(supply chain resiliency) 的概念。這牽涉的不再只是妥善管理供應鏈所有風險而已,更重要的是企業如何承受任何攻擊並從中復原。

近年來,網路犯罪集團開始發現,他們可經由攻擊企業信賴的第三方廠商來入侵一些較大的企業,因為這些第三方廠商的資安措施普遍較為不足。藉此,歹徒就能掌握企業敏感的資訊供應鏈及業務供應鏈。2013 與 2014 年,美國 Target 和 Home Depot 等連鎖超市發生的資料外洩讓大家開始驚覺開放第三方廠商存取自身企業基礎架構網路的風險,因為駭客可藉由偷來的第三方廠商帳號密碼登入其網路。2015 年,針對政府機關、民間企業及重大基礎建設資訊供應鏈和業務供應鏈的攻擊更加猖獗。此一成長趨勢清楚說明了一點,駭客正在快速演進,而且正在不斷提升其目標挑選能力,能找出並攻擊最關鍵或最脆弱的環節。

一個較近期的案例是美國人事管理局 (Office of Personnel Management,簡稱 OPM) 的資料外洩事件,該事件中約有 2,200 萬筆聯邦政府前任和現任員工、外包廠商以及軍方人員的身家背景資料遭到外流。駭客先描繪出 OPM 的資訊供應鏈,然後先從 OPM 的外包商 KeyPoint Government Solutions 下手。在取得該外包商的帳號密碼之後,駭客接下來便利用跳島式攻擊 (island-hopping) 進入 OPM 的系統。

然而這類攻擊並非只侷限於針對政府機關的網路間諜行動而已。有三家新聞媒體:Business Wire、Marketwired 及 PRN 在為期超過五年的時間內遭到駭客有系統地入侵。歹徒竊取了超過 150,000 件機密的企業新聞稿,並利用其中的 800 件來從事詐騙,獲利高達 3,000 萬美元。這些外洩事件,突顯出資訊供應鏈不僅容易遭到所謂的跳島式攻擊,更已成為駭客的主要攻擊目標,因為整個上下游供應鏈的合作夥伴上儲存了各式各樣的資訊。

除了資訊供應鏈之外,業務供應鏈也同樣容易遭到網路攻擊。一項原本被視為兩起獨立事件的網路攻擊,其實是某個涵蓋多重管道及多重階段的單一攻擊,歹徒利用惡意程式破壞了兩座烏克蘭發電廠,導致 80,000 家用戶因而停電。不過,在經過深入調查之後,趨勢科技資深威脅研究員發現另外兩家能源供應鏈合作廠商 (分別為鐵路與採礦公司) 也遭到了同一駭客團體攻擊。

為了應付這類日益升高的風險,企業必須建立一套 (或者提升現有的)「第三方廠商風險管理計畫」,內容應包括五大步驟:

  • 整合內部所有相關單位 (IT、法務、採購)。
  • 列出所有第三方廠商並且依照風險排序。
  • 評估第三方廠商自身的資安情況。
  • 藉由合約及溝通向第三方廠商提出您對資安的要求。
  • 持續監控關鍵第三方廠商的表現。

總之,當您企業在規畫網路犯罪防禦時,您必須考慮到整個供應鏈。不過,妥善管理整個供應鏈的所有可能風險固然重要,但思考供應鏈的永續性也同樣重要,如此才能了解第三方廠商對於任何潛在攻擊的承受與復原能力。切記:網路攻擊已不再是「會不會」發生的問題,而是「何時」會發生。更有甚者,攻擊很可能來自您所信賴的某個合作夥伴。

原文出處:Protect your Supply Chain with a Third-Party Risk Management Program作者:Ed Cabrera (網路安全策略副總裁)