如何防止第三方数据泄露

您是否担心第三方造成数据泄露？想知道如何防止第三方数据泄露？

这并不奇怪。毕竟，这种情况是令人瞠目结舌的可怕。

例如，根据eSentire 的研究，2019 年，44% 的公司遭遇过第三方造成的数据泄露。

Verizon 的数据泄露调查报告告诉我们，62% 的数据泄露是通过第三方供应商发生的。

毫不奇怪，越来越多的企业意识到第三方数据泄露也可能发生在他们身上。毕竟，许多公司已经将其功能和数据的主要方面外包给第三方供应商。

当然，他们正在寻找防止其被破坏的方法。

这就是我们下面要介绍的内容。您将了解有关第三方数据泄露的更多信息，我们还将介绍一些防止这种情况发生在您身上的最佳方法。

什么是第三方数据泄露？

在讨论防止第三方数据泄露的方法之前，让我们先介绍一些基础知识。

当我们谈论第三方供应商时，我们指的是公司与之共享数据的任何外部方。这可能包括云服务提供商、营销机构、承包商等。

与您合作并共享任何数据的任何外部公司或供应商都属于此类别。

第三方数据安全漏洞是指未经授权的个人或网络犯罪团体通过第三方供应商或合作伙伴访问组织的敏感数据的事件。

第三方数据泄露是如何发生的？

嗯，这可以通过多种方式发生。

其中一种情况是，在其系统中保存您公司数据的第三方供应商遭受破坏。渗透供应商系统的黑客也会自动获取您的任何数据。

示例： 2021 年，黑客入侵了云存储提供商 Elekta 的系统。在这次攻击中，黑客还获得了存储在医科达服务器上的俄克拉荷马州癌症中心敏感患者数据的访问权限。

2016 年，Dropbox 的一次数据泄露事件暴露了 6800 万用户的电子邮件地址和密码。此次泄露是由一名 Dropbox 员工在遭到黑客攻击的第三方网站上重复使用其工作帐户密码造成的。然后，黑客就能够使用此密码访问 Dropbox 的网络并窃取用户信息。

以下是第三方数据泄露的其他几个著名示例：

微软： 2021 年初，微软经历了一次重大数据泄露，暴露了其 Exchange 电子邮件服务的敏感信息。黑客能够通过安装 Web shell 来访问电子邮件帐户和其他数据，这些恶意脚本允许他们在受感染的服务器上远程执行命令。Web shell 使黑客能够窃取敏感数据，例如电子邮件、联系人列表和日历条目。

Uber： 2022 年 12 月，全球网约车巨头 Uber 因供应商受损而遭受第三方数据泄露。IT 资产跟踪、监控和管理服务提供商 Teqtivity 证实，一名黑客入侵了其系统，并访问了 77,000 多名 Uber 员工的电子邮件地址和其他信息。

SolarWinds： 2020 年 12 月，SolarWinds 确认其网络遭到破坏，恶意软件被注入其平台上的软件更新功能中。该恶意软件扫描下游客户网络，检测安全工具，并连接回攻击者的命令和控制服务器。18,000 名客户受到影响，其中包括政府机构和《财富》1000 强企业中 14% 的客户。

防止第三方数据泄露的 10 个步骤

1.评估供应商的信息安全

我承认这是你事后通常会想到的事情之一。通常，只有在遭受安全事件之后，您才会开始质疑供应商的安全策略。显然，更好的方法是在与任何第三方供应商合作之前就这样做。

在与潜在供应商合作之前，对他们的安全策略和程序进行彻底的供应商风险评估。

首先要求您的供应商填写一份安全调查问卷，涵盖其安全策略、访问控制和数据保护实践的各个方面。安全认证（例如 SOC 2 或 ISO/IEC 27001）表明了对基本安全和操作程序的一定承诺。

还要查看供应商的业绩记录和声誉。研究以确定他们是否有数据泄露或安全事件的历史，并检查其他客户的参考资料以评估其可靠性。

与供应商保持持续的关系对于确保他们满足您的安全标准至关重要。定期进行安全审计或评估以验证其合规性。

2. 纳入风险管理

当然，这可以采取多种形式。最常见的选择是将安全评级纳入供应商合同中，要求供应商维持最低安全评级，否则将面临合同终止。

您还可以添加一项条款，要求供应商在指定时间范围内及时报告并解决安全问题。

将服务级别协议 (SLA) 纳入供应商合同也很有效。SLA 允许您指定供应商所需的安全级别，并设置对未能满足这些要求的处罚。

在合同中包含 SLA 可以增强您对供应商网络安全风险管理的控制，并帮助保护组织的敏感信息。

3. 分段网络并测试

网络分段将您的网络分成多个较小的网络。

这种方法的优点是，与平坦网络相比，您可以对谁可以访问每个网段实施更精细的访问控制。

这是帮助遏制违规行为的极其重要的一步。

对网络进行分段并应用适当的安全控制后，进行渗透测试以验证网络是否安全非常重要。

渗透测试人员将使用与黑客相同的工具和方法来获得对您网络的未经授权的访问。实施报告中的建议后，考虑进行“假定违规”练习。

红队可以模拟攻击者获得网络访问权限后可以执行的操作。此时，拥有适当分段和锁定的网络将被证明是无价的。适当的分段可确保即使攻击者破坏了网络的一部分，他们也能被遏制并防止横向移动以访问其他敏感区域。

4.限制数据共享

与第三方供应商共享数据是许多业务运营的必要组成部分。

但是，共享敏感信息时务必谨慎，因为这会增加数据泄露的风险。为了最大限度地降低风险，组织应该评估需要共享哪些数据以及与谁共享。

共享过多数据可能会使组织的敏感信息面临风险。

例如，供应商可能只需要访问一台或两台服务器或数据库，但获得的访问权限超出了必要的范围。这种做法可以提高供应商的效率，但也会增加第三方数据泄露的可能性。

为了解决此问题，供应商特权访问管理 (VPAM) 是一种可以限制和包含供应商权限的方法，同时还授予他们足够的访问权限以履行合同义务。

通过实施 VPAM，企业可以降低数据泄露的风险并保持对其敏感信息的控制。

重要的是要记住，与第三方供应商共享数据应尽量减少到他们履行其预期角色所需的数量。

5. 保存文档

出于多种原因，维护第三方管理的全面记录至关重要。

首先，它使您能够随着时间的推移监控供应商的安全状况，从而使您能够评估他们的安全实践并跟踪任何变化或潜在的安全风险。

其次，文档有助于确保适当的网络卫生，包括及时的补丁管理和定期测试。

最后，文档在合规性方面发挥着关键作用，作为审计跟踪，展示了强大的第三方安全风险管理流程的实施情况。

通过维护文档，您可以确保完成基本的维护任务并将其用作您的组织已采取必要措施来防止此类事件的证据，从而降低数据泄露的风险。

简而言之，保存文档可以确保您的组织已主动管理第三方风险并采取措施保护敏感信息。

6. 考虑第四方风险供应链攻击

第四方风险是当贵公司的供应商将其部分业务外包给其他供应商从而形成供应商链时出现的风险。

要识别第四方风险的潜在威胁，您可以使用供应商的系统和组织控制 (SOC) 报告。

供应商风险管理（包括第四方风险）的责任由您的信息安全团队负责（就像第三方风险管理一样）。

即使第三方提供额外的安全性，您的公司仍然有责任实施全面的攻击面管理策略，以避免第四方数据泄露带来的监管、财务或声誉后果。

7.停止与不可靠的供应商合作

在管理第三方风险时，制定明确的计划来切断与不可靠供应商的关系至关重要。这意味着识别供应商何时不符合您的标准或面临数据泄露的风险。

终止与供应商的关系可能是一个艰难的决定，特别是如果他们提供关键服务。然而，数据泄露或敏感信息丢失的潜在后果远远超过与不可靠的供应商合作的任何好处。

因此，制定应急计划至关重要，以确保供应商关系的终止不会对组织的运营造成任何干扰。该计划应涉及寻找替代供应商或内部解决方案来替代其服务。

8.实施严格的密码策略和多重身份验证

根据 Verizon 数据泄露调查报告，大多数网络攻击都是由密码薄弱或泄露造成的。当多个帐户重复使用相同的密码时，凭据在暗网上暴露的可能性就会增加。

如果您想避免这种情况，则必须实施严格的密码策略并要求对访问您系统的供应商进行多重身份验证 (MFA)。

要实施严格的密码策略，首先要设置密码长度要求。根据 OWASP ASVS，密码长度应至少为 12 个字符。

除了密码策略之外，多重身份验证还为供应商访问增加了额外的安全层。多重身份验证要求供应商提供除密码之外的其他身份验证因素，例如指纹、令牌或发送到手机的一次性代码。

即使他们拥有供应商的密码，这也可以降低潜在数据泄露的风险。

话虽如此，即使是安全的密码和会话令牌也经常在暗网上泄露。持续监控用户和供应商的泄露数据使您的安全团队能够在数据被利用之前防止泄露。

9. 培训员工如何识别和报告可疑供应商活动

防止第三方数据泄露的关键步骤之一是培训员工如何识别和报告可疑的供应商活动。

通过教育您的员工如何识别和报告可疑活动，您可以针对第三方违规行为创建额外的保护层。这可以包括如何识别网络钓鱼电子邮件、社会工程攻击和其他形式的网络犯罪的培训

制定明确的协议来报告和调查可疑活动也很重要。

这可以包括建立明确的指挥链并概述发生安全事件时要采取的步骤。通过让员工参与此过程，您可以创建安全意识文化并降低第三方数据泄露的风险。

虽然员工培训对于保护您的系统大有帮助，但人为错误仍然可能使您的组织容易受到攻击。实施技术控制以防止人类做出错误的决定非常重要。

10.制定明确的事件响应计划

如果发生第三方数据泄露，制定明确的数据泄露响应计划以快速有效地应对情况至关重要。

响应计划应概述事件响应团队的角色和职责、遏制违规行为所需采取的步骤以及通知受影响方的流程。

要创建事件响应计划，请识别可能影响您的组织的潜在安全事件。这应包括第三方违规行为以及其他类型的网络攻击，例如网络钓鱼诈骗、恶意软件感染或勒索软件攻击。

定期测试和更新事件响应计划对于确保其保持有效和最新至关重要。该计划应至少每年审查和更新一次，以及在组织的基础设施或供应商关系发生任何重大变化后进行审查和更新。

原文始发于微信公众号（OSINT研习社）：如何防止第三方数据泄露