第三方違規使數據保護深陷困境，何解？

一次又一次，組織面臨着其數據所遭受的不斷升級的威脅：第三方違規行爲。

隨着企業愈發依賴外部供應商和合作夥伴來提供各類服務，敏感信息的安全性愈發脆弱。

這就引出了一個問題：傳統的安全措施在保護重要信息方面究竟是仍然有效，還是已然過時？

第三方違規事件顯著增多，近期的受害者有 Snowflake、Santander 以及 Ticketmaster 等等。

這些事件凸顯出我們系統中存在的固有漏洞，任何組織都無法免受此類攻擊。

不出所料，98%的組織在過去的兩年中經歷過第三方違規行爲。

這些違規行爲可能會暴露關鍵數據，進而導致嚴重的財務損失和聲譽損害。

當惡意行爲者對供應商、承包商或其他附屬組織進行破壞，以獲取與受害者的客戶、業務夥伴相關的敏感信息或系統時，便會發生第三方違規。

第三方供應商對於任何企業來說都極爲寶貴，但同時也帶來了重大風險。

特別是供應鏈攻擊呈上升態勢，62%的網絡入侵源自第三方，通常爲供應鏈中的某個人。

這些違規行爲最令人擔憂的方面在於其產生的巨大影響。

衆多組織因第三方網絡事件經歷了重大幹擾，有 73%的組織報告至少發生過一次重大事件。一個顯著的例子是 2020 年的“太陽風”（SolarWinds）入侵事故，一個複雜的惡意軟件程序被插入其軟件更新中。管理衆多公司憑證的“太陽風”成了遭受廣泛攻擊的理想目標。

由於供應鏈中廣泛使用“太陽風”解決方案，此次入侵使許多組織面臨風險。結果，18000 名客戶受到影響。財務損失極爲巨大，據“BitSight”估計，損失達 9000 萬美元。

除了財務損失，此類事件還損害聲譽，侵蝕企業與其第三方合作伙伴之間的信任。

許多人認爲他們的風險範圍僅限於他們直接控制的領域，但他們仍然容易受到直接攻擊和內部威脅。您的風險區域涵蓋了與您有互動的公司所涉及的所有風險。正如俗話說：“你不只是跟這個人結婚，而是跟他們整個家庭結婚。”這包括客戶、供應商、合作伙伴和供應商。“太陽風”事件不僅影響了其直接客戶，還影響了整個供應鏈，說明了這些風險相互關聯的性質。“已知的攻擊/風險範圍”和“未知但真實的攻擊/風險範圍”之間存在關鍵區別。

此外，大規模的數據泄露事件凸顯出採取強有力的網絡安全措施的迫切性。值得注意的是，Ticketmaster、桑坦德銀行（Santander）和 Snowflake 都遭受了重大入侵。Ticketmaster 的入侵泄露了 5.3 億客戶的數據，而桑坦德銀行則暴露了 3000 萬的個人信息。

所泄露的數據涵蓋了全名、電子郵箱地址、電話號碼以及經過哈希處理的信用卡號。

Snowflake 的數據泄露事件中，員工憑證遭攻破，繞過了其身份驗證服務，這凸顯了安全雲存儲以及有效的網絡安全工具的關鍵需求。

組織需要針對供應商實施全面的風險管理計劃。

在影響主要組織的重大數據泄露事件發生之後，顯然傳統的網絡安全措施已經不足。更全面的方法，例如零信任策略，對於保護敏感信息極爲重要。零信任是一種安全框架，要求所有用戶，不管是在組織網絡內部還是外部，在被授予或維持對應用程序和數據的訪問之前，都得進行身份驗證、授權，並持續對其安全配置和狀態進行驗證。雖然零信任通常與網絡和訪問控制有關聯，但是將這些原則拓展到數據層極爲重要，以確保不管數據處於何種位置或採用何種訪問方法，數據都能夠得到保護。

在涉及第三方之前對數據進行保護是加強安全性的關鍵步驟。如果數據在源頭得到恰當保護，像涉及 Ticketmaster 和 Santander 那樣的數據泄露事件或許永遠都不會成爲頭條新聞。有效的數據治理以及對數據操作的可見性對於全面管理隱私和保護信息極爲重要。此外，像加密、數據屏蔽和其他去標識化技術之類的數據保護策略能夠在數據共享之前對數據加以保護，將暴露風險降到最低。

數據泄露所產生的長期影響可能極爲嚴重，會對組織的財務狀況、聲譽以及客戶信任造成影響。

通過將這些方法集成到零信任策略中，組織可以更好地保護其數據，並維護其數字生態系統的信任和安全。

在當今的數字時代，連接水平的提升帶來了相應的風險。第三方違規給組織帶來了重大挑戰，需要予以細緻的關注，並採取積極的措施來防止數據泄露。採用零信任策略以及投資強大的數據保護解決方案，乃是在這一複雜的數字環境中前行的關鍵步驟。通過實施積極的措施，持續關注安全並致力於數據保護，組織能夠增強自身的彈性，並在當下和未來保護其數據。採用這些策略將確保營造一個安全的環境，使敏感信息始終得到保護，免受不斷演變的網絡威脅。

克萊德·威廉姆森是 Protegrity 的首席安全架構師