风险管理之业务合作伙伴安全问题

当组织和业务合作伙伴互相联系并且为对方提供对内部系统更多的访问时,更多的信息安全挑战就产生了。因为业务合作伙伴通常与受信任的内部人员或外包商一样,拥有相同的数据或系统访问级别,组织承受着许多显着的信息安全挑战,这与组织已经面对的内部威胁风险相似。业务合作伙伴的特权访问只是放大了风险,像任何内部人员一样、业务合作伙伴能够绕过为阻挠外部或非信任源访问而设置的安全控制。

组织需要进行尽职调查,以确保其免受于业务合作伙伴所带来的风险。本文中,我们探讨涉及到业务合作伙伴的典型风险以及缓解这些风险的方法。

涉及业务合作伙伴的典型风险

涉及到业务合作伙伴的典型风险主要依赖于访问的类型、数据和可供访问资源的风险级别。业务合作伙伴能以许多不同的方式访问内部的网络:直接的物理访问、本地或远程的凭证登录。从业务流程的角度来看,这样的访问对于业务合作伙伴扮演的角色是关键的,但是从安全的角度来看,这种情况是设想合作伙伴知道如何并且负责地使用该访问权限。不过,现实情况不总是这样的。

类似地,另一个风险是,与你的组织相比,业务合作伙伴实行的信息安全实践不太安全。在一些合作伙伴组织中,共享个人的登录凭证就像常规一样,这可能导致伙伴的访问权限被窃取或是无意地被用来攻击你的系统。通常这种使用合法的访问凭证、通过受信任的连接进入的攻击手法很难侦测。例如,如果业务合作伙伴的系统设定为能通过SSH经由因特网远程访问他们的网络,一旦他们使用的单因素认证和密码被恶意软件捕获或是被暴力破解,攻击者就可以使用这个账户通过受信任的网络连接攻击你的系统。在业务合作伙伴的网络到你的组织间使用受信任网络连接,使得该攻击难以侦测,因为它可能不会通过你的边界安全检测。

另外,业务合作伙伴可能访问、存储或处理数据的风险,会因业务合作伙伴关系的不同而不同,但是比起访问系统来说,这可能会有更大的风险。如果业务合作伙伴存储像社会保险号这样的敏感数据,并且他们的安全防线被突破,你的组织可能需要负责把这个安全事故、相关的成本和潜在的责任告知你的顾客,即使你的安全没有直接地受到损害。对于合作关系来说,更严重的风险是与业务合作伙伴共享的知识产权遭受任何未授权的访问。

缓解和管理业务风险的方法

总之,管理与业务合作伙伴安全有关风险的最佳方法是,实施强大的安全控制。你的组织能够实施以下这些技术,来确保业务合作伙伴对你组织系统访问的安全:对所有的数据传输使用加密的连接,要求所有的访问通过使用强认证个人帐户,记录所有的访问和活动,然后审阅这些日志来寻找可疑的活动。合适的业务控制包括对新用户的正确授权,由管理层审阅访问列表以及合同中定义合作的关系。

与业务合作伙伴的合同应该包括对安全控制的引用,包括希望伙伴满足的职责和期望,例如员工必须遵守一样的安全策略。该合同应该包括关于报告安全事故、保护系统和数据所需提供的最少的安全控制的细节,以及访问方面的细节。包含以上条款的合同,或是对已存在合同的内容补充,会有助于确保对双方的期望得到理解。

对于那些不寻常、或是涉及到安全团队认为可能带来更高安全风险的业务合作伙伴安排,你的组织可以进行风险评估,这是在执行合作关系前应努力一部分。这可以确保管理层和其他利益相关人理解赋予业务合作伙伴访问你们系统所涉及到的技术风险,本质上,这是让管理层推进合作关系的决策,(对合作伙伴)进行专门的控制来降低风险,或是选择不发起业务合作。

管理业务合作伙伴或是受信任内部人员的风险另外的方法是,记录并定期审查日志,从而寻找可疑的行为。根据日志的数量,这可能需要自动的工具来帮助辨识需要人工调查的事件,但理想情况是,你的安全团队已经有合适的日志审查能力来做这个事情。

一开始,如果你实施强大的安全控制、进行风险评估或是定期地审阅相关日志,会让你的业务合作伙伴觉得你不信任他们。如果对于所有的业务合作伙伴遵循一样的实践和评估模型,就会很容易让潜在的业务合作伙伴将那些作为标准,从而尽职尽责。同样你要谨记,如果你没有遵守对业务合作伙伴提出的安全需求,业务合作伙伴可能会对提供你的组织到它们系统的任何访问感到担心,并使两者间的关系变得紧张。

管理业务合作伙伴风险:结论

毋庸置疑,在当今以计算机为中心的世界中,为快速地和有效地进行业务,新的业务交互和赋予业务合作伙伴访问权限已经引起了新的风险。对系统和数据新增的访问权限给组织增加了风险点,但是围绕业务合作伙伴的这些安全风险是可以成功缓解的。记住,尽管业务合作伙伴安全风险总会以某种形式存在,但最终安全的角色是为业务领导者提供建议,关于这些风险、以及如何控制到位从而最大程度地缓解这些风险。