根據SecurityScorecard日前發布的「全球第三方網路安全漏洞」調查報告,深入分析2023年最重大第三方網路風險與事件。SecurityScorecard調查發現,2023年資料外洩事件的量化分析顯示,近三分之一的洩露事件涉及第三方供應商。
而這些第三方供應商中,有四分之三為技術性質,涉及提供軟體和其他IT產品與服務,另外四分之一則屬於非技術性供應商,例如律師事務所、會計師事務所等專業服務提供者。對於IT與資安人員而言,意味著當前企業風險管理的範疇不僅只有自家應用場域,同時也須對供應商的資安狀況進行審查和監控,以確保供應鏈安全。
智慧資安(uniXecure)核心資安業務處產品主任黃漢璽指出,去年(2023)最活躍的勒索軟體即服務(RaaS)組織LockBit,曾在暗網網站中公開宣稱取得半導體巨擘台積電的機敏資料,並勒索高額虛擬貨幣,引起各方關注。儘管事後證明為虛驚一場,LockBit勒索軟體組織入侵的是台積電合作廠商,間接竊取到的資料亦不具機敏性。但也由此凸顯出藉由入侵供應鏈,確實是國際駭客組織慣於利用來謀取非法利益的手段。對此,SecurityScorecard提供的第三方風險管理(Third-Party Risk Management,TPRM),可協助風險辨識、修正、持續監控,以理解並應對供應鏈潛在安全威脅,確保運營的安全性和持續性。
即時追蹤評估企業內部與外部資產
傳統的資產發現、風險評估與漏洞管理流程通常為靜態的,僅在特定時間點進行評估,無法隨時跟上新漏洞與攻擊向量出現的速度。其次是這些流程主要著重於內部資產,無法理解外部資產可能遭遇的風險,例如第三方供應商、雲端服務、暗網市場上販售的機敏資料等。此外,這些流程通常依賴手動操作,容易出現人為失誤,並且無法提供即時且全面的風險評估。
攻擊面管理(ASM)是一種持續發現、分析和緩解潛在威脅的過程。黃漢璽指出,相較於傳統風險控管機制,攻擊面管理更加動態且全面,不僅涵蓋企業內部的資產,還包括外部資產,並且透過自動化流程實現即時的風險評估。
SecurityScorecard透過網路威脅情資的評分分析,對企業實體的網路安全態勢進行評級,以用於第三方管理和IT風險管理。黃漢璽說明,SecurityScorecard的發展理念是結合自動化流程執行資產探測,以實現對企業攻擊面的全盤掌控。獨特之處在於,SecurityScorecard採非侵入式的資訊收集技術,透過收集公開資料、網路誘捕機制與威脅情資的整合,並且結合ThreatMarket弱點搜尋引擎,能夠自動發現企業的曝險資產與弱點,並且依照風險等級排定修補弱點的優先順序,避免爆發資安事故。
風險識別與管控阻止資安事件
在探討現代企業面臨的資安挑戰時,黃漢璽認為,多數存在三大風險因素:複雜的網路環境、攻擊者的高深莫測技術、以及缺乏有效的風險管理機制。這些因素共同構成了企業在資安維護上的挑戰。
他進一步說明,網路環境的複雜性是現代化IT快速演進所產生現狀。特別是隨著2023年被視為生成式人工智慧(AI)的元年,以及預測2024年將出現生成式AI驅動的攻擊,這些新興技術的發展,讓企業的IT部門面臨前所未有的安全挑戰。駭客開始將生成式AI作為武器化的工具,企業因此必須尋找新的防禦機制來對抗這種新型態的攻擊。
其次,隨著企業進行數位轉型,將應用系統轉移至雲端或直接採用雲端服務,新的安全疑慮隨之而來。尤其是當企業缺乏工具來評估與管理雲端服務的安全性時。此外,物聯網(IoT)應用更廣泛、開放API和開源軟體的普及、加密貨幣和生物辨識技術的使用,都為企業帶來了新的資安挑戰,同時也加劇了第三方供應商的風險。
智慧資安核心資安業務處產品主任黃漢璽建議,善用第三方風險管理工具,可協助風險辨識、修正、持續監控,以理解並應對供應鏈潛在安全威脅,確保運營的安全性和持續性。
第三方供應商風險的管理顯得尤為重要,因為許多資安事件正是由第三方的弱點引發。駭客能夠透過維護廠商或其他第三方進入企業的內網,從而繞過企業嚴格的內部控管。黃漢璽強調,風險管理的目的在於降低未來可能發生資安事件的機率,而SecurityScorecard憑藉著對全球資安態勢的掌握度,可協助企業針對潛在的威脅進行評估,並根據評估結果制定出相應的行動計畫,如此一來便能夠更有效地運用有限資源來防範日益複雜的資安威脅。
AI演算輔助分析風險因素數據
SecurityScorecard的第三方風險管理(TPRM),較其他供應商風險管理(Vendor Risk Management,VRM)有何差異?黃漢璽援引SecurityScorecard的定義指出,供應商風險管理是評估企業的供應商、供貨商、服務提供商的過程,以確保它們不會構成無法接受的風險。第三方風險管理則是評估企業營運相關的外部組織,除了供應商,也有合作夥伴、承包商、顧問等不同角色。因此,第三方風險管理是一個總稱,涵蓋供應商風險管理、委外夥伴風險、合約風險管理等範疇。
第三方風險管理的目標是識別、歸類與企業關聯的風險。SecurityScorecard運用AI來強化其分析能力,以應對攻擊者的先進技術。透過AI的輔助,可以更快速地識別潛在的安全風險,並提供針對性的防禦策略。然而,即便是識別出風險,企業也需要一套有效的風險管理機制來確定修復的優先順序,畢竟資源有限,不可能一次性解決所有問題。SecurityScorecard平台能夠為企業提供關鍵風險的優先處理順序列表,主要是基於大量數據分析結果,指出哪些風險是目前最應該被關注和修補的,哪些可以稍後處理。這不僅提高了風險管理的效率,亦可藉此讓有限資源發揮最大效益。
此外他表示,SecurityScorecard的Atlas平台也是利用先進的AI技術,提高第三方風險管理效率。透過Atlas平台,企業能夠上傳供應商填寫風險評估問卷的回答,機器學習演算分析會將這些回答與過往問卷、Atlas平台自身的分析數據進行比對,以計算風險分數。SecurityScorecard設計以易於閱讀的安全評級,基於10個評估關鍵資安風險因素計算出A到F的字母等級來表示風險級別,產生可向高階管理層回報的報表,以符合風險管理計畫的要求。