隨著企業的擴充和現代化,其對於第三方廠商的依賴也隨之增加。從薪資處理專員和專利法律顧問,一直到軟體供應商和物流合作夥伴,這些外部關係已成為企業營運不可或缺的一部分。但每新增一個廠商連線,也等於是為網路風險敞開一道後門 — 其中有許多完全未受到保護。
第三方網路安全風險並不是一種理論上的問題,而是一種日益加劇、影響整個企業的威脅,而且可能引發營運中斷、聲譽受損以及監管方面的後果。然而,儘管問題相當嚴重,許多企業卻仍將廠商風險管理委託給採購部門,最後往往淪為每年一次的檢查清單勾選與自我評估問卷。
但這樣的作法不僅過時,且相當危險。
PwC 的研究指出,只有 31% 的公司透過正式且涵蓋整個企業的程序來評估廠商的網路安全風險。其餘的公司就如同無頭蒼蠅一般毫無頭緒。如今,即便是中型企業也可能管理數十甚至數百個廠商關係,其中許多廠商還擁有敏感系統與數據的存取權限,因此現有的作法根本已難以維繫。
第三方廠商的網路安全風險幾乎對每個企業都構成了生存威脅。此外高階主管層級也必須意識到問題的急迫性。
第三方廠商風險如何演變成網路弱點
這裡列舉了幾個廣為人知、足以成為頭條新聞的案例,來說明第三方廠商風險如何轉變為巨大的網路安全問題。2020 年備受矚目的 SolarWinds 攻擊事件,以及 2013 年 Target 數據洩露事件,都是第三方風險演變為企業後門程式的鮮明例子。並且這些事件也絕非個別的案例。在各個產業中,攻擊者正不斷利用數位供應鏈中最脆弱的環節,而且往往帶來毀滅性的後果。
如今,攻擊者早已不限於針對傳統的 IT 廠商下手。他們同樣可能鎖定金融服務供應商、雲端與電信合作夥伴,甚至是電力公司作為攻擊目標。只要廠商能直接或間接連接到您的系統,這些系統就面臨一定的風險。其中包括軟體開發人員、OEM、經銷商以及數量越來越多的客戶。
一旦進入系統,攻擊者並不會急於行事。他們會在網路中橫向移動以竊取敏感數據:客戶記錄、智慧財產和憑證。許多內嵌於 API、瀏覽器外掛程式或更新機制內部的惡意軟體,會透過模仿受信任程序的方式,悄悄繞過防禦系統。
軟體供應鏈尤其容易受到攻擊。事實上,根據 Enterprise Strategy Group 的研究,有 41% 的企業軟體供應鏈曾遭受零時差攻擊,這些攻擊主要利用第三方程式碼中的新弱點或未知弱點;另外有 40% 的企業則表示曾因雲端服務錯誤設定而遭到入侵。
這些都不是單純的個案。而是明確的警訊。這也證明許多資訊安全長早已知悉的事實:第三方風險已經不再只是一種網路安全問題。這是一種企業弱點,需要隨時保持警覺。
鎖定廠商發動攻擊的高風險後果
第三方攻擊在發生時通常毫無動靜,並且一旦被發現,損害通常已經造成。
只要有一個合作夥伴遭到入侵,就可能導致敏感數據暴露、營運中斷,並迫使企業陷入長時間的鑑識調查、補救與復原程序。在這些時刻,崩潰的不只是系統。還有來自客戶、監管機關、合作夥伴以及大眾的信任。
光是監管層面的後果就可能十分驚人。從歐洲的 GDPR、巴西的 LGPD,再到美國醫療產業的 HIPAA,各地的數據保護架構如今都要求企業對數據洩露負起責任,無論弱點源自何處。罰款是一回事,但是長期的聲譽損害則更為嚴重。
這就是使第三方風險如此危險的原因:它會隨著您的成長而擴大。每新增一個廠商、每多一項整合、每拓展一個新市場,攻擊範圍就會隨之擴大。若缺乏對合作夥伴生態系統的即時可視性,這些攻擊範圍將變成盲點,而對手卻越來越善於利用這些弱點發動攻擊。
企業現在應該做些什麼
第三方風險的增加不僅需要程序上的因應,更需要思維上的轉變。像是靜態稽核、廠商問卷和一次性的合規性檢查等傳統方法,早已無法因應當前這個攻擊範圍因外部關係而持續擴大的時代。
以下是一些需要改變的方向:
- 按照業務重要性對廠商進行分類。並非所有第三方都承擔相同的風險,而您的網路安全期望應該具體反映這一點。企業應採用分層模型,以根據供應商的營運重要性和系統存取層級,將其分配到不同的風險類別中。另一方面,對於關鍵廠商,則應強制要求完全遵循您的零信任政策,包括嚴格的身分驗證、區隔和持續監控。對於中層或低風險供應商,則應確保其符合基準控制,但必須按比例調整需求。
- 從時間點轉換為即時風險評估。第三方環境是經常變動的,今天的安全無虞,不代表明天不會出現弱點。風險評估必須同步進化。定期重新評估長期合作的廠商關係,與新廠商的審查一樣重要。
- 堅持零信任原則 — 無所不在。包括廠商在內,零信任模型應適用於整個擴展的企業。如果合作夥伴無法區隔存取權限、在每個進入點驗證身分並持續監控異常行為,那麼您的防禦能力大概就等同於其最為薄弱的環節。
- 讓廠商與您的政策架構保持一致。合作夥伴往往遵循較為寬鬆的規範進行營運。相反地,企業應要求廠商遵循內部政策架構 (從數據處理到事件回應),而且不能有任何例外。
- 使用現代威脅情報和自動化。如今,即時掌握第三方風險已並非難事,但需要更多關於智慧型工具的投資。AI 和機器學習可以在弱點被利用之前發現問題,尤其是在持續接收即時遙測和威脅情報的情況下效率更高。
- 主動與關鍵供應商共享威脅情報。企業不僅要保護自己的周邊,還必須提升整個生態系統的整體靈活性。至少必須做到讓關鍵供應商應參與雙向情報共享,尤其對於能源、醫療保健和零售業來說更是如此,因為這些產業的相關實務仍落後於金融服務業。一旦廠商遭到入侵,仍必須視為您自身的漏洞。
- 將責任延伸至整個生態系統。第三方不僅是您的業務夥伴,更是數位周邊的延伸。而這些特定權限也伴隨著責任。持續的安全監控必須納入採購生命週期,而非事後才想到的附加項目。
最終,問題不在於您的廠商是否存在風險,而是在於您能多快識別出高風險的廠商,以及您將如何因應。隨著監管審查日益嚴格、網路攻擊也變得越來越複雜,因此已經沒有太多空間可以容許假設或預設信任了。
提高第三方風險管理標準不只是為了避免下一次的入侵,更是為了守護您苦心經營的事業以及聲譽,一旦失去將讓您難以承受。
想知道 Haider 還提出哪些觀點嗎?請查看他在 Perspectives 的其他文章。
1「How SOC reporting can help assess cybersecurity risk management in third-party relationships—and beyond」,PwC,2022 年。
2The growing complexity of securing the software supply chain,Enterprise Strategy Group,2024 年 5 月
