网络犯罪分子如何通过供应链合作伙伴发起攻击

就其本质而言，供应链需要人和组织之间的协作伙伴关系。虽然这有助于实现共同目标并促进增长，但也可能带来一系列问题。

通过这些共生关系，公司在不知不觉中暴露了其业务的敏感方面。然而，这一被忽视的弱点为网络犯罪分子在其目标组织中立足提供了机会。

Opus 和 Ponemon Institute 的一项研究强调了此类攻击的普遍性，表明至少 59% 的组织遭受了通过第三方公司进行的网络攻击。更令人不安的是，研究中只有 16% 的组织声称可以有效降低来自第三方的网络安全风险。

保护您的公司免受此类风险的第一步是识别它们，这是合情合理的。以下是一些恶意行为者可以通过供应链合作伙伴发起攻击的方式，并通过现实生活中的例子加以说明。

几乎每个组织都使用外部硬件和软件。很少有人想从头开始构建技术。相反，开源领域的蓬勃发展导致业务运营的几乎每个方面都出现了大规模的外包浪潮。

尽管它很方便，但这个机会也伴随着相当大的风险。 2018 年臭名昭著的 Equifax 漏洞是由于负责运行在线数据库的软件存在缺陷造成的。 Equifax 还将其归咎于其网站上的恶意下载链接，该链接来自另一家供应商。

由于供应链中的这些弱点，犯罪分子掌握了至少 1.43 亿人的个人数据。

许多公司使用连接到互联网但缺乏足够安全措施的供暖、通风和空调 (HVAC) 系统。这些为黑客提供了进入公司系统的潜在途径，就像 2014 年大规模破坏 Target 的情况一样。

黑客获得了属于提供 Target 暖通空调系统公司的登录凭据的访问权限。然后他们登录并进入其支付系统，窃取了大约 7000 万人的信息。其中包括姓名、实际地址、电子邮件地址和电话号码以及其他敏感数据。

另一种风险来自存储公司机密数据的云服务提供商。可以肯定的是，这些实体对其系统的安全性进行了大量投资；他们的声誉取决于它。

但与任何其他组织系统一样，这些系统也容易受到损害。 2018 年臭名昭著的 Paradise Papers 黑客就是这种情况。泄露的大约 1340 万份敏感文件揭示了全球公司和来自世界各地的超级富豪的敏感金融交易。这些文件中至少有一半（约 680 万份）来自离岸法律服务提供商 Appleby。

类似的攻击发生在 2018 年夏天，当时 Deep Root Analytics 泄露了大约 2 亿选民的个人数据。 Deep Root 是共和党和民主党都使用的营销公司。该漏洞是由于该公司不小心将数据放在可公开访问的服务器上。

虽然这是一家只有大约 50 名员工的相对较小的公司，但类似的事件也发生在较大的组织中。在 Verizon 违规的情况下，Nice Systems 将 600 万条客户记录放在公共 Amazon S3 存储服务器上。这些记录包括六个月的客户服务通话记录。它们包括个人和帐户信息。尼斯拥有超过 3,500 名员工。

拥有超过 250,000 名员工的德勤也经历过类似的数据泄露。 2018 年 9 月，黑客获得了其部分蓝筹客户的机密计划和电子邮件。在这种情况下，漏洞是对其一个管理帐户的访问控制薄弱。

对于大企业来说，安全性可能在内部是无懈可击的。然而，即使对于供应商 IT 系统，这也可能并非如此。这似乎就是去年秋天在澳大利亚的 Domino's Pizza 发生的事情。根据当时的报道，这起事件是由一家前供应商的网络安全系统薄弱引起的。结果，系统泄露了客户姓名和电子邮件地址。当受影响的客户开始收到个性化垃圾邮件时，违规行为才被曝光。尽管多米诺坚称没有恶意入侵个人数据并且其系统没有问题，但损害已经造成。

网络犯罪分子可能利用的另一个漏洞是物联网 (IoT) 传感器。许多业务经营者都对计算机、电话和网络安全风险保持警惕。但他们经常忽略物联网设备，这可能会让攻击者跳入企业系统。

这些设备具有传感器，可将它们连接到互联网以进行通信。它们在供应链中很常见，因为它们可以帮助机器故障预测和库存管理等领域。尽管它们具有功能价值，但它们是一种流行的攻击媒介，可以让攻击者访问敏感数据，并促进破坏和僵尸网络攻击。

此类攻击的一个例子是使用名为 Mirai 的僵尸网络来破坏 Dyn，Dyn 是一家为 Reddit、Netflix 和 Github 等提供域名服务的公司。 Mirai 是一种特定于物联网的僵尸网络，旨在实施分布式拒绝服务 (DDOS) 攻击。

上述示例证明了攻击者可以利用供应链中的薄弱环节来访问系统的事实。不幸的是，您无法直接控制供应链合作伙伴实施的安全措施。但归根结底，客户并不关心您是如何受到损害的。他们只是想知道他们的数据是安全的。这让您有责任确保严密的安全。

评估第三方安全系统及其隐私政策时的尽职调查至关重要。正如我们所见，大大小小的组织都可能成为这些策略的牺牲品。无论合作伙伴的规模大小，都必须评估他们对安全的承诺。

将评估您的弱点作为首要目标，并优先解决所有漏洞。

Olivia Scott 是 的营销经理 VPNpro.com。