別人被駭我倒楣?如何自我檢查應對供應鏈風險的準備程度

閱讀時間約 7 分鐘
你是否想過,如果哪些第三方服務突然中斷或是遭到駭客攻擊,會對你的單位造成什麼影響?本文會透過模擬案例,解析資安事件發生時,駭客從攻擊服務供應商到進入單位內部的不同階段,並附上自檢表讓讀者迅速檢視自己是否對於供應鏈資安事件有所準備。

前言

銀行公會在 2023 年 03 月 26 日更新了《金融機構資通系統與服務供應鏈風險管理規範》,著重於供應鏈的風險管理,可看出對於第三方供應商的資安疑慮與重視。
現今企業常用第三方服務支援業務,但當這些供應商遭受駭客攻擊,企業就會面臨風險和威脅。
舉例來說,如果合作的物流公司系統被入侵,駭客可能竊取到電商客戶的個人資訊或貨物信息。同樣地,如果一家 SaaS 供應商的系統被攻擊,使用其系統的企業可能會失去對其內部工作流程的控制。就有如 2022 年 TOYOTA 因為供應商遭受攻擊,導致 TOYOTA 零件管理系統故障、產線停擺。資安不僅是資料洩露,有時也要評估對於公司生產的影響。而第三方服務的盛行,無疑加劇了駭客的攻擊面與影響範圍。
TOYOTA 供應鏈遭攻擊,產線停擺
以下是以我的經驗與結合知道的案例,模擬這類事件的常見情境與順序,並提供回應建議。

第一階段:服務供應商被入侵

您的組織使用了第三方的 CRM 系統主導內部的業務流程。某天,您收到 CRM 服務供應商的通知,告知他們已經遭到入侵,攻擊者竊取了他們客戶的資訊。目前已知使用者名稱與密碼都已被盜,其餘範圍還在釐清中。
首先,遇到供應商發生資安事件,我們可以先釐清對己身企業的影響。根據情境,企業只知道登入此系統的帳號密碼已經洩漏,但儲存在上面的客戶資料尚未確定是否外洩。
所以此時,我們可以將問題分為資安風險與商業風險,進行評估
  • 資安風險:由於服務使用者(公司內部的業務、財務或相關人員)的帳密已經外洩,而他們使用的帳號密碼有可能是弱密碼或是經常重複使用的私人密碼,攻擊者可能會透過這些外洩的密碼,對公司系統進行撞庫攻擊。
  • 商業風險:您的組織在 CRM 系統上儲存了什麼樣的資料?如果真的外洩,對於公司商務有什麼影響?(例如:客戶喪失信任、影響股價、商業機密外洩)發生資料外洩有無罰則、法律責任?(例如:GDPR)
事件發生時,需針對不同類型的風險確認其潛在的影響,因此組織的資安單位除了處理資安風險,也應考慮發起跨部門的合作。有了業務上的資訊,才能確認資安事件對整間公司的全面影響。有些組織內,業務單位與資安單位脫鉤較為嚴重,資安單位應認知到這一點,盡早將商業風險納入評估流程中。

第二階段:攻擊者試圖透過竊取到的憑證存取公司系統

雖然您已經接收到服務供應商的通知,但您並不清楚攻擊者是什麼時候得到這些帳號密碼。而竊取到憑證的攻擊者此時很有可能進行憑證填充 (Credential Stuffing) 攻擊,存取組織所有外部的服務。
第一階段是評估,確認事件發生後的資安與商業風險,接下來我們也需要亡羊補牢——在駭客拿到鑰匙後,進一步防止駭客撞開大門、存取公司系統。為了避免憑證填充或類似的攻擊,資安團隊可以往下列方向進行事件處理
  1. 確認外部服務存取的可能性:組織應確認只有必要的服務可以從外部存取,因為外部服務會是駭客利用竊取到的憑證嘗試登入的首要管道。
  2. 驗證帳戶:既然已知帳密外洩且駭客正在嘗試進入,此時組織應該強烈建議員工更改他們的密碼,並確保他們不會在其他網站上重複使用相同的密碼,並套用多因子驗證 (Multi-factor Authentication),降低外洩帳密的影響範圍。
  3. 監控活動:監控所有外洩帳密所能登錄的系統,監測是否出現異常活動,以確保沒有不當行為發生。
  4. 強化安全:除了事件處理,資安團隊也應從長遠的資安政策著手,降低帳密外洩後的風險。例如:加強密碼策略、實施多因子驗證、限制外部的存取或是建立鎖定機制——只要多次輸入錯誤的帳密,就鎖定帳戶,避免駭客撞庫。

第三階段:進入公司系統後,攻擊者試圖存取敏感數據

雖然資安單位已經掌握了攻擊者所竊取的帳號密碼情況,但最近的監控發現了,攻擊者正嘗試從公司內部網絡存取敏感數據。可見,攻擊者很可能已經利用所竊取的憑證、並且用我們不曉得、暴露在外的服務進入了內部網路。
百密總有一疏,我們無法保證前面的階段中,我們真的能完美阻擋駭客進入內網。攻擊者如果最終還是進入了內部網路,此時組織對於機敏資料的控管就十分重要,建議往下列幾點思考:
  1. 「機敏資訊」與位置:盤點總是必不可少,畢竟我們無法保護看不到的東西。此時需清楚掌握組織的機敏資訊有哪些、在哪裡。
  2. 完整的事件響應流程:確認駭客真的進入內網後,是否能掌握攻擊者做了什麼並立即阻斷?組織應該嘗試確認攻擊者是否已經成功存取敏感數據,並限制受到影響的範圍,以防進一步的破壞。

第四階段:賽後盤點

您的資安團隊成功找到攻擊者進入的足跡,也暫時阻止了進一步的擴散,更已經完成所有外洩帳密的重設。最後的問題是,您的 CRM 服務供應商表示系統暫時無法登入使用。
成功地防止組織被攻擊者入侵並竊取機敏資料後(雖然這可能只是暫時的),這時候我們就有時間來重新思考供應鏈安全:
  1. 制定中斷服務的備援計畫:所有人應該都認同,資訊安全不只是「保證不被駭客入侵」,「保證服務不會因為單一因素中斷、影響整個組織」也是資訊安全的一環。
  2. 了解組織與第三方供應商的 SLA 與他們的資安應變計劃:確認第三方供應商對內部服務或機敏資料的保護措施:了解他們是否有足夠的安全措施來保護這些資料。常見範例為雲端異地備份,且服務供應商不應有權限存取備份的機敏資料。
    確認第三方供應商的資安響應流程:他們如何阻止攻擊者進一步存取機敏資料?如何追蹤或保證能夠恢復受影響的系統?

總結

第三方服務可能帶來的資安風險不容忽視。當供應商遭受駭客攻擊時,企業常常也會陷入威脅之中。文章從不同階段,透過具體的資安事件情境,希望讓讀者反思——您對於供應鏈帶來的資安風險是否已有所準備?
除了上述的情境分析,我也準備了一份自評表,讓企業組織可以更輕易地開始評估自己的供應商管理。 此份自評表參考了澳洲政府的資安管理單位——澳洲資安中心 (Australian Cyber Security Centre ,ACSC) 所做的研究報告。
歡迎免費下載並與您的同事們討論,趁機審視企業內部的風險管理。當然,為了鼓勵大家從現在開始填寫自評表,只要將您的自評表回傳給我並盡可能提供相關資訊或想問的問題 ([email protected]),我也會盡力一一回答並給予我的建議!
自評表下載連結:https://tinyurl.com/5btw5z25

參考資料

為什麼會看到廣告
22會員
9內容數
分享對於資訊安全的分析和評(吐)論(嘈),趨勢觀察、技術分析、觀點評論、科普教育,除了特別專業的網路安全分享,也會穿插一些科普文章與實體安全討論,歡迎分享給你的親朋好友,畢竟多了解一些安全也就多一份保障。
留言0
查看全部
發表第一個留言支持創作者!
駭客花生醬的沙龍 的其他內容
無論是線上匯款、帳戶申辦,還是購物結帳,在這個「無處不需要手機驗證碼」的世界,如果你還對「如何保護好手機號碼」沒概念,你可能會被盜刷一堆錢、背負莫名其妙的借貸債務、或是帳號被盜。 這篇文章會介紹關於 SIM 卡劫持攻擊與類似攻擊在台灣的發生案例,趕快來了解一下吧!
隨著「零信任架構」(Zero Trust Architecture) 一詞在臺灣風靡一時,各家資安廠商也搭上了這股風潮,什麼產品都要「零信任」一下。然而,有「零信任」的產品就是資安萬靈丹嗎? 零信任架構是什麼?
無論是線上匯款、帳戶申辦,還是購物結帳,在這個「無處不需要手機驗證碼」的世界,如果你還對「如何保護好手機號碼」沒概念,你可能會被盜刷一堆錢、背負莫名其妙的借貸債務、或是帳號被盜。 這篇文章會介紹關於 SIM 卡劫持攻擊與類似攻擊在台灣的發生案例,趕快來了解一下吧!
隨著「零信任架構」(Zero Trust Architecture) 一詞在臺灣風靡一時,各家資安廠商也搭上了這股風潮,什麼產品都要「零信任」一下。然而,有「零信任」的產品就是資安萬靈丹嗎? 零信任架構是什麼?
你可能也想看
Google News 追蹤
Thumbnail
接下來第二部分我們持續討論美國總統大選如何佈局, 以及選前一週到年底的操作策略建議 分析兩位候選人政策利多/ 利空的板塊和股票
Thumbnail
🤔為什麼團長的能力是死亡筆記本? 🤔為什麼像是死亡筆記本呢? 🤨作者巧思-讓妮翁死亡合理的幾個伏筆
Thumbnail
給心靈的重感冒一次診療的機會 儘管,理智上我們都知道要愛自己、擁抱自己的內在小孩,但我們仍舊會有無法放下自己失誤的時候。 即便,我們告訴自己「我一定要改變」,但我們仍舊無法堅定信念,仍舊會有覺得自己不夠好的那種時候。 許多人會用童年時期的機制,來應對壓力與困境,然而想要駕馭心情上的
Thumbnail
💡「世界上沒有人可以制約你,只有你自己願意被制約」,每一個外在制約,都是內在的投射,映射自己的渴望,當你不願意真實面對自己,就只能跟著制約過一輩子,最後發現,白來了一遭💡
Thumbnail
『我們不能控制別人對我們的看法,但我們可以控制自己的反應。』~激勵管理大師 史蒂芬·柯維(Stephen R. Covey) 在當今多元且複雜充斥著無數角色與職業的社會裡,『鄙視鏈(Despise Chain)』這一概念,如同一把雙刃劍,既揭示了人類群體間的階級感知,也反映了個體間的價值觀差異。
Thumbnail
其實我們都知道每個人的想法不一樣,但我們常常還是沒辦法做到尊重對方的想法,或是能不被對方的想法動搖。當我們在跟對方討論一件事情時,我們往往會迫不及待地跟對方分享自己的經驗,或者告訴對方最快達成目標的方式。喜歡分享是一件好事沒錯,但我們經常不止於分享,而是想要對方可以接受我們的提議及想法。 舉例而言,
Thumbnail
這本書能解決什麼問題? 你是否曾有以下困擾? 開會時長篇大論,卻無法讓與會者迅速掌握重點,耗盡對方耐心? 精心準備的簡報,卻無法引起聽眾共鳴,達不到效果? 甚至日常聊天,總是辭不達意,讓朋友興趣缺缺? 或許你欠缺的不僅僅是溝通方式,而是摘要的能力。 這本書提出幾個觀念,並歸納出幾個步驟,幫助我們用最
Thumbnail
「摘要力」指的是抓住資訊重點,因應狀況簡潔且有邏輯的表達自身想法的能力。簡單來說就是要找到「臨死前最想說的話」
Thumbnail
女兒現在四歲七個月,語言表達能力跟理解能力已經非常好了,於是我決定開始用輕鬆閒聊的方式來跟女兒對話。 剛剛吃飯的時候我問她:「如果妳看到同學被欺負的時候,妳會怎麼做?」 女兒不假思索以肯定的語氣告訴我:「我會告訴老師!」(我馬上比了一個👍給她) 我再追問:「那萬一同學改成欺負妳,妳又會怎麼辦?」
Thumbnail
我常帶高年級和國中的孩子寫〈最不喜歡大人說的一句話〉這個題目。根據統計,「還不趕快去寫功課?!」榮登排行榜第一名。這學期的課程,我整理了八句學生筆下的「傷人金句」給孩子們看,他們深感認同。聊過以後,還沒結束,真正的重點才要登場!這也是我在這學期加進課程中,試圖帶領孩子進一步思考的問題……
Thumbnail
生命是如此單純的存在,只是我們缺失了讓自己保持單純的能力。“菩提本無樹,明鏡亦非台。本來無一物,何處惹塵埃...
Thumbnail
接下來第二部分我們持續討論美國總統大選如何佈局, 以及選前一週到年底的操作策略建議 分析兩位候選人政策利多/ 利空的板塊和股票
Thumbnail
🤔為什麼團長的能力是死亡筆記本? 🤔為什麼像是死亡筆記本呢? 🤨作者巧思-讓妮翁死亡合理的幾個伏筆
Thumbnail
給心靈的重感冒一次診療的機會 儘管,理智上我們都知道要愛自己、擁抱自己的內在小孩,但我們仍舊會有無法放下自己失誤的時候。 即便,我們告訴自己「我一定要改變」,但我們仍舊無法堅定信念,仍舊會有覺得自己不夠好的那種時候。 許多人會用童年時期的機制,來應對壓力與困境,然而想要駕馭心情上的
Thumbnail
💡「世界上沒有人可以制約你,只有你自己願意被制約」,每一個外在制約,都是內在的投射,映射自己的渴望,當你不願意真實面對自己,就只能跟著制約過一輩子,最後發現,白來了一遭💡
Thumbnail
『我們不能控制別人對我們的看法,但我們可以控制自己的反應。』~激勵管理大師 史蒂芬·柯維(Stephen R. Covey) 在當今多元且複雜充斥著無數角色與職業的社會裡,『鄙視鏈(Despise Chain)』這一概念,如同一把雙刃劍,既揭示了人類群體間的階級感知,也反映了個體間的價值觀差異。
Thumbnail
其實我們都知道每個人的想法不一樣,但我們常常還是沒辦法做到尊重對方的想法,或是能不被對方的想法動搖。當我們在跟對方討論一件事情時,我們往往會迫不及待地跟對方分享自己的經驗,或者告訴對方最快達成目標的方式。喜歡分享是一件好事沒錯,但我們經常不止於分享,而是想要對方可以接受我們的提議及想法。 舉例而言,
Thumbnail
這本書能解決什麼問題? 你是否曾有以下困擾? 開會時長篇大論,卻無法讓與會者迅速掌握重點,耗盡對方耐心? 精心準備的簡報,卻無法引起聽眾共鳴,達不到效果? 甚至日常聊天,總是辭不達意,讓朋友興趣缺缺? 或許你欠缺的不僅僅是溝通方式,而是摘要的能力。 這本書提出幾個觀念,並歸納出幾個步驟,幫助我們用最
Thumbnail
「摘要力」指的是抓住資訊重點,因應狀況簡潔且有邏輯的表達自身想法的能力。簡單來說就是要找到「臨死前最想說的話」
Thumbnail
女兒現在四歲七個月,語言表達能力跟理解能力已經非常好了,於是我決定開始用輕鬆閒聊的方式來跟女兒對話。 剛剛吃飯的時候我問她:「如果妳看到同學被欺負的時候,妳會怎麼做?」 女兒不假思索以肯定的語氣告訴我:「我會告訴老師!」(我馬上比了一個👍給她) 我再追問:「那萬一同學改成欺負妳,妳又會怎麼辦?」
Thumbnail
我常帶高年級和國中的孩子寫〈最不喜歡大人說的一句話〉這個題目。根據統計,「還不趕快去寫功課?!」榮登排行榜第一名。這學期的課程,我整理了八句學生筆下的「傷人金句」給孩子們看,他們深感認同。聊過以後,還沒結束,真正的重點才要登場!這也是我在這學期加進課程中,試圖帶領孩子進一步思考的問題……
Thumbnail
生命是如此單純的存在,只是我們缺失了讓自己保持單純的能力。“菩提本無樹,明鏡亦非台。本來無一物,何處惹塵埃...