Equifax黑客事件的经验教训:供应链合作伙伴太重要了!

  1.45亿客户记录被泄之后,Equifax股票暴跌30%,相当于蒸发掉50亿美元市值。Equifax黑客事件位列史上罕见大型数据泄露事件之一,被盗记录中包含社会安全号和驾照信息。
 


 

  而且,相比随之而来的事件余波,目前的市值蒸发可能还仅仅是沧海一粟。不仅仅是Equifax被黑,其供应商也面临被黑风险,可能暴露上百万更多客户信息。

  比如说,Visa和MasterCard最近就向各大银行发出警报,提醒他们约20万张信用卡可能也被黑了。实际上,今年8月,信用卡诈骗迎来了一轮暴增,同比增长了15%。2013年塔吉特百货因第三方供应商漏洞导致数据泄露之后,也出现了类似的身份盗窃猖獗期。
 


 

  Visa和MasterCard都将信用卡可能被黑归罪于Equifax。这两大支付公司,或许是第一批站出来声明自家数据可能在Equifax数据泄露事件中被盗的,后续应该还会有一大批公司陆续发布声明——任何与Equifax有互动的公司都面临此风险。

  公司企业从供应商那里继承过来的风险,是网络安全中一个普遍性问题。今日快速多变的商业环境中,动态供应链是必然,但每家新供应商都会扩大公司的威胁界面。

  让该问题更加复杂的是,公司企业对其供应商网络的安全水平没有监管。他们没办法监视其中涉及的风险,也无法承受对生产力的影响。

  在网络安全水平方面,对潜在供应链合作伙伴的评估通常是个很匆忙的过程,而且往往做不到应有的深度。就像贷方采用FICO信用评分评估信用风险一样,公司企业也应采用类似的系统来评估网络风险。该系统的核心,必须是持续监测网络风险的能力,而不仅仅是一次性评估就完事,而且还得自适应,跟上不断改变的数字环境和风险进化的步伐。

  网络攻击是常态,公司企业的对手每个月都在大幅进化。于是,想要做出最明智的商业决策,在最早期检测出供应链风险,就必须对与给定供应商合作所存在的潜在风险和威胁,有着完整全面的可见性。

  这可以直击问题核心——我们不能直接改变供应商对网络攻击者的抗击能力,但我们可以建立起有关网络风险的透明关系。这种范式下,我们就能收到第三方供应商网络风险早期警报信号,如果认为风险过高,可以及时终止合作关系。

  早期警报信号包括:向C2基础设施发信的设备、悄悄探测网络防御的隐蔽恶意软件、公司云存储操作中存在的漏洞(可致口令和知识产权面临风险)等。缺乏对这些威胁的可见性,公司企业就被迫在无法完整获悉所涉风险的情况下信任供应商。

  举个例子。某公司最近与其他公司合作举办重大活动,检测到合作公司网络上有一台设备与奇怪的外部IP地址通联。由于该设备属于第三方(也就是当地警局)所有和运营,该公司的网络防御没能检测到此威胁。就是这种第三方集成进网络的方式,容易造成威胁悄悄溜进安全缝隙,Equifax黑客事件,恰好完美展现了微小威胁演变成致命数据泄露有多么容易。

  Equifax的供应链合作伙伴,几乎必定受到该数据泄露的潜在影响。但是,他们可以在了解每段合作关系所带来的风险和漏洞方面,变得更聪明些。但凡有此实时感知,都可以在早期看出并处理漏洞上居于有利位置,防止数据被泄。至于Equifax的1.45亿客户及其供应链,情况显然不是这样的。

(责任编辑:宋编辑)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

2016年软件即服务发展的五大主题

2016年软件即服务发展的五大主题

对于2016年软件即服务(SaaS)我并没有什么伟大的预言,也没有深邃的远见或是史诗般的猜...[详细]

从生产安全体系视角看数据安全

从生产安全体系视角看数据安全

互联网的发展一日千里,安全技术随着互联网的发展,出现的新场景、新技术、新名称都越...[详细]

RSA 2019大会最值得关注的10个网络安全趋势

RSA 2019大会最值得关注的10个网络安全趋势

RSA2019大会本周开幕,来自八家知名网络安全厂商的高官们谈到了他们期待在今年大会上...[详细]

Gartner:政府部门2019年将重点投资「数据

Gartner:政府部门2019年将重点投资「数据分析与网络安全」的技术

数字化转型时一场长期竞赛,2018年数字化转移面临的主要挑战是缺少用于支持数字化转型...[详细]

区块链正在应用于正在兴起的网络安全运动

区块链正在应用于正在兴起的网络安全运动

尽管有关加密货币和交易所的黑客和欺骗的新闻铺天盖地,但事实仍然是,真正的区块链在...[详细]

返回首页 返回顶部