به طور میانگین سازمانها از محصولات 250 تا 500 فروشنده شخص ثالث استفاده میکنند. بنابراین جای تعجب نیست که این مسیر حمله بیشترین بازده را برای هکرها دارد. با این وجود بسیاری از کسبوکارها همچنان مخاطرات اشخاص ثالث را جدی نگرفته و آن را یک خطر امنیتی واقعی تلقی نمیکنند.
در این مطلب از فراست تعدادی از مواردی را مورد بررسی قرار میدهیم که دلالت بر مخاطرهآمیز بودن همکاری با اشخاص ثالث داردند.
-
اشخاص ثالث نامرئی هستند
اگرچه اشخاص ثالث از جنبه فنی نامرئی نیستند اما سازمانها نظارت محدودی بر روی آنها دارند. حدود 60 درصد از سازمانها دید چندان زیادی نسبت به مجوزهای دسترسی اشخاص ثالث به سیستمهای حیاتی خودشان نداشته و نیمی از سازمانها نیز حتی نمیدانند که چه تعداد اشخاص ثالثی به سیستمهای آنها دسترسی دارند. فعالیت اشخاص ثالث همچنین به صورت منظم تحت نظارت قرار نمیگیرد. در نتیجه برای اقداماتی که در حین دسترسی به اطلاعات و سیستمهای حیاتی انجام میدهند، مسئول دانسته نمیشوند.
-
کنترل اشخاص ثالث آسان نیست
کسبوکارها معمولاً میتوانند برای کارمندانی که به دادهها، برنامههای کاربردی و سیستمهای حیاتی دسترسی دارند کنترل دسترسی مبتنی بر نقش را پیادهسازی کنند. همگامسازی کاربران عموماً از طریق یک سیستم اکتیودایرکتوری یا منابع انسانی صورت میگیرد که قابلیت اتوماسیون و روانسازی فرایند اعطای دسترسی به سیستمهای مورد نیاز را دارد. فروشندگان شخص ثالث کارمند نیستند و در سیستمهای داخلی قرار ندارند. در نتیجه مدیریت آنها سختتر است. باید با دسترسیهای آنها رفتاری متفاوت و دقیقتر داشت چون احتمال ایجاد تهدیدات خارجی را به وجود میآورند. در صورت عدم ایجاد کنترلهایی که بر اساس اصل اعتماد صفر پیادهسازی شده باشند، نظارتی بر روی اشخاص ثالث در سیستمها وجود نخواهد داشت.
-
بیتوجهی به قوانین
به طور میانگین حدود نیمی از سازمانها باور ندارند که اشخاص ثالث آنها از قوانین گزارش رخنه اطلاعاتی در صنعت خودشان آگاه هستند. حدود 60 درصد نیز به عملکرد اشخاص ثالث برای پیروی از قوانین حریم خصوصی و امنیت مرتبط با سازمان خودشان امتیاز کمی میدهند. در حوزه بهداشت و درمان، مقرراتی مثل HIPAA وجود دارند که بر اساس این قوانین اشخاص ثالث مسئول نقض مقررات هستند اما تا زمانی که قوانین مشابهی برای سایر صنایع پیادهسازی و اجرا نشود، اشخاص ثالث همچنان یک تهدید قانونی و امنیتی مهم برای کسبوکارها خواهند بود.
-
ضعف در مدیریت اشخاص ثالث
حدود 70 درصد از شرکتکنندگان نظرسنجی اخیر Ponemon اعلام کردهاند که مدیریت مجوزها و دسترسیهای راه دور اشخاص ثالث کار سختی است و منابع داخلی را تخلیه میکند. سازمانها معمولاً نیرو یا ظرفیت لازم برای مدیریت اشخاص ثالث را ندارند تا یک تیم مدیریت ریسک کامل مخصوص رسیدگی به اشخاص ثالث راهاندازی کنند. بنابراین دسترسیهای راه دور و مجوزهای اشخاص ثالث به خوبی مدیریت نشده یا حتی اصلاً مدیریت نمیگردد. سازمانها برای حفظ امنیت شبکه و سیستمهای خودشان متکی بر روی اعتبار اشخاص ثالث یا قراردادها هستند که البته این اقدام به تنهایی کافی نیست.
-
اشخاص ثالث دری به دنیای بیرون هستند
دسترسی اشخاص ثالث، دری برای ورود دیگران به سازمان و دسترسی به اطلاعات، شبکهها و سیستمهای حیاتی است. سازمانها معمولاً بر اساس معماری قلعه و خندق ساخته شدهاند که از آنها در برابر همه افراد خارجی حفاظت میکند. این سازوکار ظاهراً عملکرد مناسبی دارد اما در مقابل افرادی که داخل سازمان هستند چندان قوی نیست. بنابراین اگر هکری از دسترسیهای یک شخص ثالث برای هک شرکت شما استفاده کند، به همه درها و داراییهای حیاتی که سعی در حفاظت از آنها دارید دسترسی خواهد داشت.
هکرها از دسترسیهای راه دور شخص ثالث سوءاستفاده میکنند. اگر خطر شخص ثالث را جدی نگیرید، دیر یا زود سازمان شما هم باید با عواقب حملات سایبری مواجه شود. با پیادهسازی استراتژیهای مدیریت دسترسیهای حیاتی، رویکرد اعتماد صفر و توجه به واقعیت تهدیدات شخص ثالث میتوانید برای مقابله با این مخاطرات آماده شوید.
اخبار امنیت اطلاعات را در فراست دنبال کنید.
منبع: bankinfosecurity