據LAW360（美國一個基于訂閱的法律新聞服務）給出的2019年的網絡安全和隱私預測：1：網絡釣魚和民族國家黑客將成為焦點2：供應商安全威脅將加大3：各州將繼續成為“民主實驗室”4：國際數據傳輸格局將變得更加復雜5：物聯網、加密貨幣將獲得更多的監管利益其中第二條就是供應商安全威脅將加大，關于供應鏈安全，我們曾不止一次談到，供應鏈安全在企業安全框架中至關重要，如若做不好，可能會使供應商、企業深陷泥潭。

本文闡述了供應鏈的安全問題，如訪問控制不足、補丁管理不充分等問題，這些問題可能導致企業存在數據泄露風險，分析了供應鏈對數據安全保護6個方面的安全威脅。

不安全的身份管理和訪問控制攻擊者入侵目標網絡的最常見方式之一是竊取和濫用第三方訪問憑證。

由于各種原因，供應商、承包商、技術供應商和其他公司經常需要直接訪問您的系統。

管理不善的訪問特權使攻擊者能夠通過第三方帳戶訪問您的網絡，并嘗試跳轉到更多的系統和網絡。

多年來，許多組織也同樣遭遇到跨站攻擊。

Lockpath的行業解決方案副總裁Sam Abadir說:“攻擊者可以通過第三方更容易地利用過度擴展的憑證。

”第三方通常不太關注釣魚和社會工程攻擊的安全培訓，這使它們相對容易成為被竊取憑證的目標。

Abadir說:“與我們合作的公司開始意識到身份管理的風險，因為它涉及到與第三方的接觸，而這往往被忽視。

”脆弱的業務連續性和災難恢復實踐通常情況下，組織認為他們的供應商已經準備好快速從數據泄露和其他安全事件中恢復，然后發現安全問題。

CynergisTek的首席執行官麥克米倫(Mac McMillan)說，在安全事件發生時，第三方的災難恢復與應急響應能力至關重要。

供應商或其他第三方的準備不足會影響您執行正常業務功能的能力。

供應商環境中可能存在供應商容易受到干擾、數據和服務無法使用等問題，McMillan說:“客戶依賴于他們的業務系統，因此對于關鍵業務系統、服務或數據的破壞將導致其遭受勒索攻擊。

”滯后的安全事件通報過去幾年中，相關法規對于信息安全事件通報的及時性、有效性變得越來越嚴格。

例如新出臺的GDPR對于延遲披露安全事件的組織制定了嚴厲的懲罰措施。

因此，供應鏈上的第三方供應商在披露涉及客戶數據和系統安全事件時，任何滯后的事件通報都會對你的組織產生直接影響。

來自CynergisTek的McMillan說：客戶在選擇有限或時間緊迫的情況下往往不能充分了解事件，當安全事件發生時可能導致比預期更嚴重的后果。

系統配置錯誤安全供應商UpGuard的分析師丹奧沙利文(Dan O'Sulpvan)表示，配置不當的第三方系統是一個主要風險。

當業務合作伙伴或其他第三方將敏感數據存儲在不正確的IT系統上時，可能會發生糟糕的事情，會對相關企業造成雙重災難。

“雖然系統的漏洞對企業而言沒有可見性或控制權，但是當他們與供應商共享的敏感信息因為系統的漏洞暴露出來時，他們將承受后果，”他舉了一個例子：最近一家工程公司將數據放在一臺可以通過互聯網公開訪問的服務器上時，不小心暴露了屬于戴爾(Dell)和奧斯汀市(Austin)等客戶的敏感數據。

O'Sulpvan指出，軍事承包商在去年年底暴露了一個包含高度敏感軍事數據的文件存儲庫。

漏洞管理措施不足美國三大個人信用評估機構之一的Equifax未能妥善處理其軟件組件中已知漏洞，這可能是有史以來涉及敏感數據的最大漏洞之一。

如果您的第三方供應商沒有遵循安全的補丁管理實踐，您也會遇到同樣的問題。

O'Sulpvan說，由于流程錯誤和失敗而未經檢查的漏洞表明看似簡單但解決了強大的第三方威脅，O'Sulpvan說。

“這種威脅向量令人沮喪的是，堅固耐用的[企業IT]實踐應該大大緩解這個問題，”他說。

“不幸的是，情況并非總是如此，其結果是一系列極具破壞性的數據泄露，這在很大程度上是可以預防的。

”O'Sulpvan說，由于流程錯誤和失誤而導致漏洞沒有被發現，這看起來很容易解決，但卻導致第三方面臨巨大威脅。

他表示這種安全威脅在有成熟的安全實踐企業中應該很容易解決。

但不幸的是，情況并非總是如此，一些組織經常遭遇了破壞性極大的數據泄漏事件，這些破壞本來是可以預防的。

第三方組件風險開源和第三方組件可以顯著加速軟件開發。

但是如果你不小心的話，第三方軟件工具也會在你的軟件中引入很多漏洞。

Media Trust首席執行官克里斯奧爾森(Chris Olson)說，考慮到在一個組織中執行軟件代碼的50%至75%(有時甚至95%)來自第三方供應商，脆弱組件帶來的風險尤其高。

Olson說：“最近幾起備受關注的攻擊事件表明，網站運營商需要對數據分析、數據管理、客戶識別、聊天和圖像庫平臺第三方提供商提高警惕。

”他指出，為了降低第三方組件風險，組織需要實施風險管理計劃，包括對第三方供應商持續的安全監控與管理。