別人被駭我倒楣？如何自我檢查應對供應鏈風險的準備程度

你是否想過，如果哪些第三方服務突然中斷或是遭到駭客攻擊，會對你的單位造成什麼影響？本文會透過模擬案例，解析資安事件發生時，駭客從攻擊服務供應商到進入單位內部的不同階段，並附上自檢表讓讀者迅速檢視自己是否對於供應鏈資安事件有所準備。

前言

第一階段：服務供應商被入侵

您的組織使用了第三方的 CRM 系統主導內部的業務流程。某天，您收到 CRM 服務供應商的通知，告知他們已經遭到入侵，攻擊者竊取了他們客戶的資訊。目前已知使用者名稱與密碼都已被盜，其餘範圍還在釐清中。

• 資安風險：由於服務使用者（公司內部的業務、財務或相關人員）的帳密已經外洩，而他們使用的帳號密碼有可能是弱密碼或是經常重複使用的私人密碼，攻擊者可能會透過這些外洩的密碼，對公司系統進行撞庫攻擊。
• 商業風險：您的組織在 CRM 系統上儲存了什麼樣的資料？如果真的外洩，對於公司商務有什麼影響？（例如：客戶喪失信任、影響股價、商業機密外洩）發生資料外洩有無罰則、法律責任？（例如：GDPR）

第二階段：攻擊者試圖透過竊取到的憑證存取公司系統

雖然您已經接收到服務供應商的通知，但您並不清楚攻擊者是什麼時候得到這些帳號密碼。而竊取到憑證的攻擊者此時很有可能進行憑證填充 (Credential Stuffing) 攻擊，存取組織所有外部的服務。

1. 確認外部服務存取的可能性：組織應確認只有必要的服務可以從外部存取，因為外部服務會是駭客利用竊取到的憑證嘗試登入的首要管道。
2. 驗證帳戶：既然已知帳密外洩且駭客正在嘗試進入，此時組織應該強烈建議員工更改他們的密碼，並確保他們不會在其他網站上重複使用相同的密碼，並套用多因子驗證 (Multi-factor Authentication)，降低外洩帳密的影響範圍。
3. 監控活動：監控所有外洩帳密所能登錄的系統，監測是否出現異常活動，以確保沒有不當行為發生。
4. 強化安全：除了事件處理，資安團隊也應從長遠的資安政策著手，降低帳密外洩後的風險。例如：加強密碼策略、實施多因子驗證、限制外部的存取或是建立鎖定機制——只要多次輸入錯誤的帳密，就鎖定帳戶，避免駭客撞庫。

第三階段：進入公司系統後，攻擊者試圖存取敏感數據

雖然資安單位已經掌握了攻擊者所竊取的帳號密碼情況，但最近的監控發現了，攻擊者正嘗試從公司內部網絡存取敏感數據。可見，攻擊者很可能已經利用所竊取的憑證、並且用我們不曉得、暴露在外的服務進入了內部網路。

1. 「機敏資訊」與位置：盤點總是必不可少，畢竟我們無法保護看不到的東西。此時需清楚掌握組織的機敏資訊有哪些、在哪裡。
2. 完整的事件響應流程：確認駭客真的進入內網後，是否能掌握攻擊者做了什麼並立即阻斷？組織應該嘗試確認攻擊者是否已經成功存取敏感數據，並限制受到影響的範圍，以防進一步的破壞。

第四階段：賽後盤點

您的資安團隊成功找到攻擊者進入的足跡，也暫時阻止了進一步的擴散，更已經完成所有外洩帳密的重設。最後的問題是，您的 CRM 服務供應商表示系統暫時無法登入使用。

1. 制定中斷服務的備援計畫：所有人應該都認同，資訊安全不只是「保證不被駭客入侵」，「保證服務不會因為單一因素中斷、影響整個組織」也是資訊安全的一環。
2. 了解組織與第三方供應商的 SLA 與他們的資安應變計劃：確認第三方供應商對內部服務或機敏資料的保護措施：了解他們是否有足夠的安全措施來保護這些資料。常見範例為雲端異地備份，且服務供應商不應有權限存取備份的機敏資料。
   確認第三方供應商的資安響應流程：他們如何阻止攻擊者進一步存取機敏資料？如何追蹤或保證能夠恢復受影響的系統？
   

總結

參考資料