你是否想過,如果哪些第三方服務突然中斷或是遭到駭客攻擊,會對你的單位造成什麼影響?本文會透過模擬案例,解析資安事件發生時,駭客從攻擊服務供應商到進入單位內部的不同階段,並附上自檢表讓讀者迅速檢視自己是否對於供應鏈資安事件有所準備。
前言
銀行公會在 2023 年 03 月 26 日更新了《金融機構資通系統與服務供應鏈風險管理規範》,著重於供應鏈的風險管理,可看出對於第三方供應商的資安疑慮與重視。
現今企業常用第三方服務支援業務,但當這些供應商遭受駭客攻擊,企業就會面臨風險和威脅。
舉例來說,如果合作的物流公司系統被入侵,駭客可能竊取到電商客戶的個人資訊或貨物信息。同樣地,如果一家 SaaS 供應商的系統被攻擊,使用其系統的企業可能會失去對其內部工作流程的控制。就有如 2022 年 TOYOTA 因為供應商遭受攻擊,導致 TOYOTA 零件管理系統故障、產線停擺。資安不僅是資料洩露,有時也要評估對於公司生產的影響。而第三方服務的盛行,無疑加劇了駭客的攻擊面與影響範圍。
TOYOTA 供應鏈遭攻擊,產線停擺
以下是以我的經驗與結合知道的案例,模擬這類事件的常見情境與順序,並提供回應建議。
第一階段:服務供應商被入侵
您的組織使用了第三方的 CRM 系統主導內部的業務流程。某天,您收到 CRM 服務供應商的通知,告知他們已經遭到入侵,攻擊者竊取了他們客戶的資訊。目前已知使用者名稱與密碼都已被盜,其餘範圍還在釐清中。
首先,遇到供應商發生資安事件,我們可以先釐清對己身企業的影響。根據情境,企業只知道登入此系統的帳號密碼已經洩漏,但儲存在上面的客戶資料尚未確定是否外洩。
所以此時,我們可以將問題分為資安風險與商業風險,進行評估。
- 資安風險:由於服務使用者(公司內部的業務、財務或相關人員)的帳密已經外洩,而他們使用的帳號密碼有可能是弱密碼或是經常重複使用的私人密碼,攻擊者可能會透過這些外洩的密碼,對公司系統進行撞庫攻擊。
- 商業風險:您的組織在 CRM 系統上儲存了什麼樣的資料?如果真的外洩,對於公司商務有什麼影響?(例如:客戶喪失信任、影響股價、商業機密外洩)發生資料外洩有無罰則、法律責任?(例如:GDPR)
事件發生時,需針對不同類型的風險確認其潛在的影響,因此組織的資安單位除了處理資安風險,也應考慮發起跨部門的合作。有了業務上的資訊,才能確認資安事件對整間公司的全面影響。有些組織內,業務單位與資安單位脫鉤較為嚴重,資安單位應認知到這一點,盡早將商業風險納入評估流程中。
第二階段:攻擊者試圖透過竊取到的憑證存取公司系統
雖然您已經接收到服務供應商的通知,但您並不清楚攻擊者是什麼時候得到這些帳號密碼。而竊取到憑證的攻擊者此時很有可能進行憑證填充 (Credential Stuffing) 攻擊,存取組織所有外部的服務。
第一階段是評估,確認事件發生後的資安與商業風險,接下來我們也需要亡羊補牢——在駭客拿到鑰匙後,進一步防止駭客撞開大門、存取公司系統。為了避免憑證填充或類似的攻擊,資安團隊可以往下列方向進行事件處理
- 確認外部服務存取的可能性:組織應確認只有必要的服務可以從外部存取,因為外部服務會是駭客利用竊取到的憑證嘗試登入的首要管道。
- 驗證帳戶:既然已知帳密外洩且駭客正在嘗試進入,此時組織應該強烈建議員工更改他們的密碼,並確保他們不會在其他網站上重複使用相同的密碼,並套用多因子驗證 (Multi-factor Authentication),降低外洩帳密的影響範圍。
- 監控活動:監控所有外洩帳密所能登錄的系統,監測是否出現異常活動,以確保沒有不當行為發生。
- 強化安全:除了事件處理,資安團隊也應從長遠的資安政策著手,降低帳密外洩後的風險。例如:加強密碼策略、實施多因子驗證、限制外部的存取或是建立鎖定機制——只要多次輸入錯誤的帳密,就鎖定帳戶,避免駭客撞庫。
第三階段:進入公司系統後,攻擊者試圖存取敏感數據
雖然資安單位已經掌握了攻擊者所竊取的帳號密碼情況,但最近的監控發現了,攻擊者正嘗試從公司內部網絡存取敏感數據。可見,攻擊者很可能已經利用所竊取的憑證、並且用我們不曉得、暴露在外的服務進入了內部網路。
百密總有一疏,我們無法保證前面的階段中,我們真的能完美阻擋駭客進入內網。攻擊者如果最終還是進入了內部網路,此時組織對於機敏資料的控管就十分重要,建議往下列幾點思考:
- 「機敏資訊」與位置:盤點總是必不可少,畢竟我們無法保護看不到的東西。此時需清楚掌握組織的機敏資訊有哪些、在哪裡。
- 完整的事件響應流程:確認駭客真的進入內網後,是否能掌握攻擊者做了什麼並立即阻斷?組織應該嘗試確認攻擊者是否已經成功存取敏感數據,並限制受到影響的範圍,以防進一步的破壞。
第四階段:賽後盤點
您的資安團隊成功找到攻擊者進入的足跡,也暫時阻止了進一步的擴散,更已經完成所有外洩帳密的重設。最後的問題是,您的 CRM 服務供應商表示系統暫時無法登入使用。
成功地防止組織被攻擊者入侵並竊取機敏資料後(雖然這可能只是暫時的),這時候我們就有時間來重新思考供應鏈安全:
- 制定中斷服務的備援計畫:所有人應該都認同,資訊安全不只是「保證不被駭客入侵」,「保證服務不會因為單一因素中斷、影響整個組織」也是資訊安全的一環。
- 了解組織與第三方供應商的 SLA 與他們的資安應變計劃:確認第三方供應商對內部服務或機敏資料的保護措施:了解他們是否有足夠的安全措施來保護這些資料。常見範例為雲端異地備份,且服務供應商不應有權限存取備份的機敏資料。
確認第三方供應商的資安響應流程:他們如何阻止攻擊者進一步存取機敏資料?如何追蹤或保證能夠恢復受影響的系統?
總結
第三方服務可能帶來的資安風險不容忽視。當供應商遭受駭客攻擊時,企業常常也會陷入威脅之中。文章從不同階段,透過具體的資安事件情境,希望讓讀者反思——您對於供應鏈帶來的資安風險是否已有所準備?
除了上述的情境分析,我也準備了一份自評表,讓企業組織可以更輕易地開始評估自己的供應商管理。 此份自評表參考了澳洲政府的資安管理單位——澳洲資安中心 (Australian Cyber Security Centre ,ACSC) 所做的研究報告。
歡迎免費下載並與您的同事們討論,趁機審視企業內部的風險管理。當然,為了鼓勵大家從現在開始填寫自評表,只要將您的自評表回傳給我並盡可能提供相關資訊或想問的問題 (hackerpeanutjohn@gmail.com),我也會盡力一一回答並給予我的建議!
自評表下載連結:https://tinyurl.com/5btw5z25
參考資料
〈TOYOTA 供應商遭駭客攻擊!日本 14 間工廠、28 條生產線全數停工〉
Understanding The Third-Party Impact On Cybersecurity Risk (forbes.com)
How to Identify Vulnerable Third-Party Software (isaca.org)
ACSC Annual Cyber Threat Report, July 2021 to June 2022 | Cyber.gov.au
