缓解访问第三方未知网站风险的几大要素

随着开发和交付的压力越来越大，许多企业选择依赖第三方来帮助运营和发展业务。值得重视的是，第三方软件及服务供应商和合作伙伴也是云环境攻击面的重要组成部分。尽管企业无法完全切断与第三方的关联，但可以在向他们提供进入单一云和多云环境的权限时强制执行最小特权原则。本文将带你了解如何缓解云端业务第三方风险对企业的影响以及缓解相应风险的技巧。
 

第三方对云环境的影响

第三方，包括供应商、承包商、合作伙伴，甚至云提供商，都是企业业务生态系统的基本组成部分。他们从各个方面帮助企业实现业务增长，包括从软件工程和 IT，到营销和业务发展，再到法律和战略。而这些第三方有许多与其他第三方合作来实现自己的业务，这种环环相扣的关联模式形成了公司和网络的供应链。
 

但是这些第三方和供应链也在云环境中制造了巨大的漏洞风险。根据 IBM 的 2022 年数据泄露成本报告，19% 的泄露是由供应链受损造成的，而第三方泄露的平均总成本高达 446 万美元。此外，与其他类型的泄露行为的全球平均水平相比，识别和阻止第三方泄露平均需要 26 天的时间。
 

第三方漏洞不仅与软件有关，不同、不匹配和/或低于组织标准的安全实践也会产生漏洞。例如，某些第三方可能不注重密码安全。在其他情况下，他们可能会重复使用凭据或不小心错误地配置了他们的环境。一旦这些第三方获得对企业供应商的访问权限，恶意攻击者就可能很容易访问企业环境。企业往往倾向于将合作的第三方视为受信任的实体，因此第三方通常被授予对敏感资源的访问和控制权。但是由于人为错误、疏忽或不了解，这些权限有时会被有意或无意地过度特权化，这时攻击者就可以利用这种信任并破坏企业环境。
 

第三方风险不同于本地风险

在云端，第三方和供应链参与者的过度信任比内部部署环境更具风险。本地服务器和组件能够划定网络边界并实施安全控制来保护这些边界，例如防火墙。但在云端，基础设施是分布式的并驻留在公共基础设施上，因此无法对其进行安全控制。这意味着正在使用的安全策略和解决方案（如第三方PAM）不再生效。
 

此外，云的分布式特性，以及员工工作对基于云的资源（例如，SaaS 应用程序）的依赖，已经改变了连接需求。经历上云的企业现在依赖身份和凭证作为提供对公司资源的访问的主要手段，使身份成为新的安全边界。同时，云已经将许多架构从单体架构转变为微服务架构，以支持更高的开发敏捷性。这些云服务现在也需要数字身份作为其访问资源的主要手段。
 

愈发复杂的身份管理

在云端，IT、DevOps、Security 和 DevSecOps 现在管理着数量庞大的新数字组织身份，每个身份都有复杂的权限子集，这些权限决定了他们可以访问哪些资源以及他们可以对这些资源采取的操作。在身份定义安全联盟 (IDSA) 进行的2022 年安全数字身份调查趋势中，52% 的安全专业人士认为上云是企业身份增长的驱动力。
 

管理和监控这些身份及其权限极其复杂。大量的身份和复杂的权限相结合的情况下，人为错误变得难以避免。根据 Verizon 的2022 年数据泄露调查报告发现凭据泄露是企业主要安全问题。根据研究发现，勒索软件成功的原因主要为错误配置身份、有风险的第三方身份和有风险的访问密钥。换句话说，第三方凭据是攻击公司和泄露其数据的重要原因，因此保护第三方凭证需要成为安全策略的关键部分。
 

在云端实施第三方最小权限原则

管理和监控最小权限原则时所需的详细程度、数据范围和决策速度要求“自动化”。企业可以通过自动化和最小特权来降低第三方风险。以下是确保自动化机制能够保护企业免受第三方风险且权限最小的六个要点：

1. 检查不必要的第三方权限

云端的权限管理是十分复杂的。自动化的多云监控机制将检查第三方凭据是否存在过多权限或错误组合，并通过向第三方提供访问敏感数据和修改基础设施等能力来确定这些权限是否违反了最小特权原则。
 

2. 根据上下文进行监控

现代安全策略需要以上下文方式应用安全控制。对于权限，必须提供权限范围的上下文。过多的权限，即超出最小特权原则的权限，是应该被监控和减少的权限。自动安全控制提供了将帐户和服务标记为受信任的机制，从而减少了错误警报。
 

3. 自动修复第三方漏洞

数量庞大的警报会让开发、IT 和安全团队陷入疲劳，因此使用自动化解决方案十分必要。自动化解决方案可以提供推荐策略并在企业的工作流程中自动修复，甚至可以通过 IaC左移优化策略，只留下一些关键问题让相关团队来判断和解决，从而有效减少处理大量警报的时间。
 

4. 设置权限门槛

通过设置权限门槛来限制不同身份可以执行的操作，这有助于通过限制用户可以做什么的潜力来最小化风险。设置自动化权限门槛对于第三方来说尤为重要，因为 IT 团队通常会因为合作关系更容易为他们提供过多的访问权限或直接接受云供应商的默认配置，而不去深入研究并弄清楚如何限制他们的权限他们实际需要的资源。
 

5. 确保使用便利性

请确保自动化解决方案的简易使用性。将自动化解决方案集成到开发及安全团队的工作流程中，通过与容易理解的仪表盘、清晰的说明和 CI/CD 流水线相结合，让第三方身份管理变得更简单便捷。
 

6. 交付 JIT 访问

JIT（Just-In-Time 即时）访问是一种安全原则，在有限的时间内为用户提供访问权限，然后将其撤销。JIT 在用户需要许可权利来完成特定任务时很有用，例如当开发人员需要修复生产中的错误时。安全的自动化解决方案也将支持第三方的 JIT 访问。这样，如果供应商需要访问敏感环境以解决与工作相关的重要问题，企业可以为他们提供此类访问权限，而不会给攻击者可乘之机。
 

结论

从业务角度来看，第三方与任何内部部门一样都是企业业务的一部分。但从安全角度来看，需要有意识地和战略谨慎地区分这些主体。企业无法控制第三方的安全策略，因此存在着巨大的安全风险。要管理这类漏洞，可以通过强制执行最小权限和 JIT 访问的自动化安全解决方案，自动化权限管理和监控通过仅向第三方（包括开发人员）分配他们需要的访问权限来降低访问风险。这将是平衡和保障云端业务连续性和安全性的有效方式。