随着开发和交付的压力越来越大,许多企业选择依赖第三方来帮助运营和发展业务。值得重视的是,第三方软件及服务供应商和合作伙伴也是云环境攻击面的重要组成部分。尽管企业无法完全切断与第三方的关联,但可以在向他们提供进入单一云和多云环境的权限时强制执行最小特权原则。本文将带你了解如何缓解云端业务第三方风险对企业的影响以及缓解相应风险的技巧。

第三方对云环境的影响

第三方,包括供应商、承包商、合作伙伴,甚至云提供商,都是企业业务生态系统的基本组成部分。他们从各个方面帮助企业实现业务增长,包括从软件工程和 IT,到营销和业务发展,再到法律和战略。而这些第三方有许多与其他第三方合作来实现自己的业务,这种环环相扣的关联模式形成了公司和网络的供应链。

但是这些第三方和供应链也在云环境中制造了巨大的漏洞风险。根据 IBM 的 2022 年数据泄露成本报告,19% 的泄露是由供应链受损造成的,而第三方泄露的平均总成本高达 446 万美元。此外,与其他类型的泄露行为的全球平均水平相比,识别和阻止第三方泄露平均需要 26 天的时间

第三方漏洞不仅与软件有关,不同、不匹配和/或低于组织标准的安全实践也会产生漏洞。例如,某些第三方可能不注重密码安全。在其他情况下,他们可能会重复使用凭据或不小心错误地配置了他们的环境。一旦这些第三方获得对企业供应商的访问权限,恶意攻击者就可能很容易访问企业环境。企业往往倾向于将合作的第三方视为受信任的实体,因此第三方通常被授予对敏感资源的访问和控制权。但是由于人为错误、疏忽或不了解,这些权限有时会被有意或无意地过度特权化,这时攻击者就可以利用这种信任并破坏企业环境。

第三方风险不同于本地风险

在云端,第三方和供应链参与者的过度信任比内部部署环境更具风险。本地服务器和组件能够划定网络边界并实施安全控制来保护这些边界,例如防火墙。但在云端,基础设施是分布式的并驻留在公共基础设施上,因此无法对其进行安全控制。这意味着正在使用的安全策略和解决方案(如第三方PAM)不再生效。

此外,云的分布式特性,以及员工工作对基于云的资源(例如,SaaS 应用程序)的依赖,已经改变了连接需求。经历上云的企业现在依赖身份和凭证作为提供对公司资源的访问的主要手段,使身份成为新的安全边界。同时,云已经将许多架构从单体架构转变为微服务架构,以支持更高的开发敏捷性。这些云服务现在也需要数字身份作为其访问资源的主要手段。

愈发复杂的身份管理

在云端,IT、DevOps、Security 和 DevSecOps 现在管理着数量庞大的新数字组织身份,每个身份都有复杂的权限子集,这些权限决定了他们可以访问哪些资源以及他们可以对这些资源采取的操作。在身份定义安全联盟 (IDSA) 进行的2022 年安全数字身份调查趋势中,52% 的安全专业人士认为上云是企业身份增长的驱动力

管理和监控这些身份及其权限极其复杂。大量的身份和复杂的权限相结合的情况下,人为错误变得难以避免。根据 Verizon 的2022 年数据泄露调查报告发现凭据泄露是企业主要安全问题。根据研究发现,勒索软件成功的原因主要为错误配置身份、有风险的第三方身份和有风险的访问密钥。换句话说,第三方凭据是攻击公司和泄露其数据的重要原因,因此保护第三方凭证需要成为安全策略的关键部分。

在云端实施第三方最小权限原则

管理和监控最小权限原则时所需的详细程度、数据范围和决策速度要求“自动化”。企业可以通过自动化和最小特权来降低第三方风险。以下是确保自动化机制能够保护企业免受第三方风险且权限最小的六个要点:

1. 检查不必要的第三方权限

云端的权限管理是十分复杂的。自动化的多云监控机制将检查第三方凭据是否存在过多权限或错误组合,并通过向第三方提供访问敏感数据和修改基础设施等能力来确定这些权限是否违反了最小特权原则。

2. 根据上下文进行监控

现代安全策略需要以上下文方式应用安全控制。对于权限,必须提供权限范围的上下文。过多的权限,即超出最小特权原则的权限,是应该被监控和减少的权限。自动安全控制提供了将帐户和服务标记为受信任的机制,从而减少了错误警报。

3. 自动修复第三方漏洞

数量庞大的警报会让开发、IT 和安全团队陷入疲劳,因此使用自动化解决方案十分必要。自动化解决方案可以提供推荐策略并在企业的工作流程中自动修复,甚至可以通过 IaC左移优化策略,只留下一些关键问题让相关团队来判断和解决,从而有效减少处理大量警报的时间。

4. 设置权限门槛

通过设置权限门槛来限制不同身份可以执行的操作,这有助于通过限制用户可以做什么的潜力来最小化风险。设置自动化权限门槛对于第三方来说尤为重要,因为 IT 团队通常会因为合作关系更容易为他们提供过多的访问权限或直接接受云供应商的默认配置,而不去深入研究并弄清楚如何限制他们的权限他们实际需要的资源。

5. 确保使用便利性

请确保自动化解决方案的简易使用性。将自动化解决方案集成到开发及安全团队的工作流程中,通过与容易理解的仪表盘、清晰的说明和 CI/CD 流水线相结合,让第三方身份管理变得更简单便捷。

6. 交付 JIT 访问

JIT(Just-In-Time 即时)访问是一种安全原则,在有限的时间内为用户提供访问权限,然后将其撤销。JIT 在用户需要许可权利来完成特定任务时很有用,例如当开发人员需要修复生产中的错误时。安全的自动化解决方案也将支持第三方的 JIT 访问。这样,如果供应商需要访问敏感环境以解决与工作相关的重要问题,企业可以为他们提供此类访问权限,而不会给攻击者可乘之机。

结论

从业务角度来看,第三方与任何内部部门一样都是企业业务的一部分。但从安全角度来看,需要有意识地和战略谨慎地区分这些主体。企业无法控制第三方的安全策略,因此存在着巨大的安全风险。要管理这类漏洞,可以通过强制执行最小权限和 JIT 访问的自动化安全解决方案,自动化权限管理和监控通过仅向第三方(包括开发人员)分配他们需要的访问权限来降低访问风险。这将是平衡和保障云端业务连续性和安全性的有效方式。

6个tips缓解第三方访问风险的更多相关文章

  1. Webview跨域访问风险

    漏洞原理:WebView对象的行为是通过WebSettings类进行设置的,如果配置不当,攻击者就可以利用该漏洞可以打破Android沙盒隔离机制,从而通过某个应用来攻击其它应用,盗取其它应用本地保存 ...

  2. 外网如何访问本地tomcat web服务器【转】

    转自:http://jingpin.jikexueyuan.com/article/49159.html 外网如何访问本地tomcat web服务器 作者: XHKJOE 发布时间:2015-07-1 ...

  3. php实现第三方登录

    1. oAuth2.0原理 网站为了方便用户快速的登录系统,都会提供使用知名的第三方平台账号进行快速登录的功能,第三方登录都是基于oAuth2.0标准来实现的.下面详细分析[基于账号密码授权]和[基于 ...

  4. iOS 10 适配 ATS

    一. HTTPS 其实HTTPS从最终的数据解析的角度,与HTTP没有任何的区别,HTTPS就是将HTTP协议数据包放到SSL/TSL层加密后,在TCP/IP层组成IP数据报去传输,以此保证传输数据的 ...

  5. 互联网安全中心(CIS)发布新版20大安全控制

    这些最佳实践最初由SANS研究所提出,名为“SANS关键控制”,是各类公司企业不可或缺的安全控制措施.通过采纳这些控制方法,公司企业可防止绝大部分的网络攻击. 有效网络防御的20条关键安全控制 对上一 ...

  6. Salesforce中的单点登录简介

    单点登录的定义 引自维基百科: 单点登录(英语:Single sign-on,缩写为 SSO),又译为单一签入,一种对于许多相互关连,但是又是各自独立的软件系统,提供访问控制的属性.当拥有这项属性时, ...

  7. 1月第2周业务风控关注|“扫黄打非”部门查处互动作业、纳米盒等20多个学习类App

    易盾业务风控周报每周呈报值得关注的安全技术和事件,包括但不限于内容安全.移动安全.业务安全和网络安全,帮助企业提高警惕,规避这些似小实大.影响业务健康发展的安全风险. 1.全国"扫黄打非&q ...

  8. 【安全开发】Android安全编码规范

    申明:本文非笔者原创,原文转载自:https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%8 ...

  9. 【转】ISMS方针、手册、程序文件模板

    <ISMS方针.手册.程序文件模板> 1 信息安全管理手册 2 信息安全适用性声明 3 信息安全管理体系程序文件 3.01文件管理程序 3.02记录管理程序 3.03纠正措施管理程序 3. ...

  10. iOS 10 适配 ATS(app支持https通过App Store审核)

    iOS 10 适配 ATS 一. HTTPS 其实HTTPS从最终的数据解析的角度,与HTTP没有任何的区别,HTTPS就是将HTTP协议数据包放到SSL/TSL层加密后,在TCP/IP层组成IP数据 ...

随机推荐

  1. SpringBoot使用自定义注解+AOP+Redis实现接口限流

    为什么要限流 系统在设计的时候,我们会有一个系统的预估容量,长时间超过系统能承受的TPS/QPS阈值,系统有可能会被压垮,最终导致整个服务不可用.为了避免这种情况,我们就需要对接口请求进行限流. 所以 ...

  2. Django CSRF验证失败. 请求被中断.

    当页面中form使用POST方式向后台提交时,报如下错误: 禁止访问 (403) CSRF验证失败. 请求被中断. Help Reason given for failure: ​ CSRF toke ...

  3. MinIO Client完全指南

    官方文档地址:http://docs.minio.org.cn/docs/master/minio-client-complete-guide 下载,添加云存储服务参考这篇文章:https://www ...

  4. Logstash:导入zipcode CSV文件和Geo Search体验

  5. [题解] Atcoder Beginner Contest ABC 265 Ex No-capture Lance Game DP,二维FFT

    题目 首先明确先手的棋子是往左走的,将其称为棋子1:后手的棋子是往右走的,将其称为棋子2. 如果有一些行满足1在2右边,也就是面对面,那其实就是一个nim,每一行都是一堆石子,数量是两个棋子之间的空格 ...

  6. 云原生虚拟网络 tun/tap & veth-pair

    云原生虚拟网络 tun/tap & veth-pair 转载请声明出处哦~,本篇文章发布于luozhiyun的博客:https://www.luozhiyun.com/archives/684 ...

  7. 2022.9.17 Java第二次课总结

    以下是本节课后的问题 首先是关于静态变量 在类中,使用 static 修饰符修饰的属性(成员变量)称为静态变量,也可以称为类变量,常量称为静态常量,方法称为静态方法或类方法,它们统称为静态成员,归整个 ...

  8. NOIP2003 普及组 洛谷P1045 麦森数 (快速幂+高精度)

    有两个问题:求位数和求后500位的数. 求位数:最后减去1对答案的位数是不影响的,就是求2p的位数,直接有公式log10(2)*p+1; 求后500位的数:容易想到快速幂和高精度: 1 #includ ...

  9. MSQL-->存储引擎

    概述 MySQL体系结构图 Innodb引擎是在mysql的5.5版本之后的默认存储引擎. Index是在引擎层次的,不同的存储引擎index的用法不同. 存储引擎就是存储数据,建立索引,更新查询数据 ...

  10. PHP redis有序集合实现分页

    <?php //连接本地的 Redis 服务 $redis = new Redis(); $redis->connect('127.0.0.1', 6379); //设置 redis 字符 ...