業(yè)務(wù)合作伙伴安全:管理業(yè)務(wù)風(fēng)險
在發(fā)明計算機(jī)前,圍繞業(yè)務(wù)合作伙伴的安全問題就已經(jīng)是現(xiàn)實。為便于討論,業(yè)務(wù)合作伙伴是指和你的企業(yè)有業(yè)務(wù)關(guān)系的個人或組織,并且作為合作關(guān)系條款中的內(nèi)容,他們能夠訪問一些敏感數(shù)據(jù)或系統(tǒng)。
當(dāng)組織和業(yè)務(wù)合作伙伴互相聯(lián)系并且為對方提供對內(nèi)部系統(tǒng)更多的訪問時,更多的信息安全挑戰(zhàn)就產(chǎn)生了。因為業(yè)務(wù)合作伙伴通常與受信任的內(nèi)部人員或外包商一樣,擁有相同的數(shù)據(jù)或系統(tǒng)訪問級別,組織承受著許多顯著的信息安全挑戰(zhàn),這與組織已經(jīng)面對的內(nèi)部威脅風(fēng)險相似。業(yè)務(wù)合作伙伴的特權(quán)訪問只是放大了風(fēng)險,像任何內(nèi)部人員一樣、業(yè)務(wù)合作伙伴能夠繞過為阻撓外部或非信任源訪問而設(shè)置的安全控制。
組組織需要進(jìn)行盡職調(diào)查,以確保其免受于業(yè)務(wù)合作伙伴所帶來的風(fēng)險。本文中,我們探討涉及到業(yè)務(wù)合作伙伴的典型風(fēng)險以及緩解這些風(fēng)險的方法。
涉及業(yè)務(wù)合作伙伴的典型風(fēng)險
涉及到業(yè)務(wù)合作伙伴的典型風(fēng)險主要依賴于訪問的類型、數(shù)據(jù)和可供訪問資源的風(fēng)險級別。業(yè)務(wù)合作伙伴能以許多不同的方式訪問內(nèi)部的網(wǎng)絡(luò):直接的物理訪問、本地或遠(yuǎn)程的憑證登錄。從業(yè)務(wù)流程的角度來看,這樣的訪問對于業(yè)務(wù)合作伙伴扮演的角色是關(guān)鍵的,但是從安全的角度來看,這種情況是設(shè)想合作伙伴知道如何并且負(fù)責(zé)地使用該訪問權(quán)限。不過,現(xiàn)實情況不總是這樣的。
類似地,另一個風(fēng)險是,與你的組織相比,業(yè)務(wù)合作伙伴實行的信息安全實踐不太安全。在一些合作伙伴組織中,共享個人的登錄憑證就像常規(guī)一樣,這可能導(dǎo)致伙伴的訪問權(quán)限被竊取或是無意地被用來攻擊你的系統(tǒng)。通常這種使用合法的訪問憑證、通過受信任的連接進(jìn)入的攻擊手法很難偵測。例如,如果業(yè)務(wù)合作伙伴的系統(tǒng)設(shè)定為能通過SSH經(jīng)由因特網(wǎng)遠(yuǎn)程訪問他們的網(wǎng)絡(luò),一旦他們使用的單因素認(rèn)證和密碼被惡意軟件捕獲或是被暴力破解,攻擊者就可以使用這個賬戶通過受信任的網(wǎng)絡(luò)連接攻擊你的系統(tǒng)。在業(yè)務(wù)合作伙伴的網(wǎng)絡(luò)到你的組織間使用受信任網(wǎng)絡(luò)連接,使得該攻擊難以偵測,因為它可能不會通過你的邊界安全檢測。
另外,業(yè)務(wù)合作伙伴可能訪問、存儲或處理數(shù)據(jù)的風(fēng)險,會因業(yè)務(wù)合作伙伴關(guān)系的不同而不同,但是比起訪問系統(tǒng)來說,這可能會有更大的風(fēng)險。如果業(yè)務(wù)合作伙伴存儲像社會保險號這樣的敏感數(shù)據(jù),并且他們的安全防線被突破,你的組織可能需要負(fù)責(zé)把這個安全事故、相關(guān)的成本和潛在的責(zé)任告知你的顧客,即使你的安全沒有直接地受到損害。對于合作關(guān)系來說,更嚴(yán)重的風(fēng)險是與業(yè)務(wù)合作伙伴共享的知識產(chǎn)權(quán)遭受任何未授權(quán)的訪問。
緩解和管理業(yè)務(wù)風(fēng)險的方法
總之,管理與業(yè)務(wù)合作伙伴安全有關(guān)風(fēng)險的最佳方法是,實施強(qiáng)大的安全控制。你的組織能夠?qū)嵤┮韵逻@些技術(shù),來確保業(yè)務(wù)合作伙伴對你組織系統(tǒng)訪問的安全:對所有的數(shù)據(jù)傳輸使用加密的連接,要求所有的訪問通過使用強(qiáng)認(rèn)證個人帳戶,記錄所有的訪問和活動,然后審閱這些日志來尋找可疑的活動。合適的業(yè)務(wù)控制包括對新用戶的正確授權(quán),由管理層審閱訪問列表以及合同中定義合作的關(guān)系。
與業(yè)務(wù)合作伙伴的合同應(yīng)該包括對安全控制的引用,包括希望伙伴滿足的職責(zé)和期望,例如員工必須遵守一樣的安全策略。該合同應(yīng)該包括關(guān)于報告安全事故、保護(hù)系統(tǒng)和數(shù)據(jù)所需提供的最少的安全控制的細(xì)節(jié),以及訪問方面的細(xì)節(jié)。包含以上條款的合同,或是對已存在合同的內(nèi)容補(bǔ)充,會有助于確保對雙方的期望得到理解。
對于那些不尋常、或是涉及到安全團(tuán)隊認(rèn)為可能帶來更高安全風(fēng)險的業(yè)務(wù)合作伙伴安排,你的組織可以進(jìn)行風(fēng)險評估,這是在執(zhí)行合作關(guān)系前應(yīng)努力一部分。這可以確保管理層和其他利益相關(guān)人理解賦予業(yè)務(wù)合作伙伴訪問你們系統(tǒng)所涉及到的技術(shù)風(fēng)險,本質(zhì)上,這是讓管理層推進(jìn)合作關(guān)系的決策,(對合作伙伴)進(jìn)行專門的控制來降低風(fēng)險,或是選擇不發(fā)起業(yè)務(wù)合作。
管理業(yè)務(wù)合作伙伴或是受信任內(nèi)部人員的風(fēng)險另外的方法是,記錄并定期審查日志,從而尋找可疑的行為。根據(jù)日志的數(shù)量,這可能需要自動的工具來幫助辨識需要人工調(diào)查的事件,但理想情況是,你的安全團(tuán)隊已經(jīng)有合適的日志審查能力來做這個事情。
一開始,如果你實施強(qiáng)大的安全控制、進(jìn)行風(fēng)險評估或是定期地審閱相關(guān)日志,會讓你的業(yè)務(wù)合作伙伴覺得你不信任他們。如果對于所有的業(yè)務(wù)合作伙伴遵循一樣的實踐和評估模型,就會很容易讓潛在的業(yè)務(wù)合作伙伴將那些作為標(biāo)準(zhǔn),從而盡職盡責(zé)。同樣你要謹(jǐn)記,如果你沒有遵守對業(yè)務(wù)合作伙伴提出的安全需求,業(yè)務(wù)合作伙伴可能會對提供你的組織到它們系統(tǒng)的任何訪問感到擔(dān)心,并使兩者間的關(guān)系變得緊張。
管理業(yè)務(wù)合作伙伴風(fēng)險:結(jié)論
毋庸置疑,在當(dāng)今以計算機(jī)為中心的世界中,為快速地和有效地進(jìn)行業(yè)務(wù),新的業(yè)務(wù)交互和賦予業(yè)務(wù)合作伙伴訪問權(quán)限已經(jīng)引起了新的風(fēng)險。對系統(tǒng)和數(shù)據(jù)新增的訪問權(quán)限給組織增加了風(fēng)險點,但是圍繞業(yè)務(wù)合作伙伴的這些安全風(fēng)險是可以成功緩解的。記住,盡管業(yè)務(wù)合作伙伴安全風(fēng)險總會以某種形式存在,但最終安全的角色是為業(yè)務(wù)領(lǐng)導(dǎo)者提供建議,關(guān)于這些風(fēng)險、以及如何控制到位從而最大程度地緩解這些風(fēng)險。
