400家企业服务商(消费品领域)网络安全报告
作者: 日期:2017年09月14日 阅:3,652

一、概述

1. 报告介绍

随着互联网和数字化经济的发展,很多企业正在进行数字化转型,通过数字化、网络化等手段,在市场营销、业务运营和企业管理等多方面应用新技术、开展新业务。同时供应关系也发生了巨大的变化。例如云服务提供商提供多样服务,让组织将自己的核心生产环境或重要信息迁移到云平台上,它让供应商的接入也从企业边缘地带转变为与企业核心业务的捆绑;另外大多数国际消费品公司会通过各种分销商合作伙伴进行业务合作,共同服务客户,开展多样化的业务,改变了传统供应关系。

商业数据的价值越来越高,受到了黑产和竞争对手的极大威胁,组织在自身网络系统内做好保护的同时,绝对不能忽视供应商的安全问题,因为他们也掌握了你的商业数据和信息(例如:客户资料、订单信息等),一旦泄漏,组织和供应商都受到极大的影响,可能带来客户流失、投诉、甚至法律诉讼。德勤的报告《Third-party Governance and Risk Management》中指出:20.6%的受访企业都经历过由第三方风险导致的敏感客户数据被破坏。(https://www2.deloitte.com/uk/en/pages/risk/articles/third-party-risk.html)

“安全值平台”监测了16,167家企业服务提供商,包括提供办公自动化、营销服务、法律服务、IT设施服务、综合解决方案服务、财务服务、税务服务、企业安全、数据服务、客户服务和B2D开发者服务等多种服务的提供商。2017年9月,分析师选择了为大型消费品公司提供企业服务的主流服务商400家(详见附录),进行了安全分析。包括提供市场推广、大数据营销等业务的营销类服务提供商(以下简称“营销类服务商”);开展客户服务、物流服务等业务的运营类服务提供商(以下简称“运营类服务商”);提供公有云主机、CDN、云存储等IT基础实施服务的服务商(以下简称“基础设施类服务商”);以及通过SaaS模式提供ERP、CRM、OA等管理信息化类型服务的服务商(以下简称“管理服务类服务商”),共计400家。基于“安全值”的安全大数据分析技术,对安全漏洞、网络攻击、垃圾邮件、恶意代码、僵尸网络、域名黑名单、IP黑名单七类安全数据进行分析,从互联网的角度,识别服务商网络安全漏洞和威胁,分析安全风险,总结出安全建议。

2. 主要发现

服务商的安全值得分827分(满分1000),排名第五,比大多数行业自身安全性要低,所以攻击服务商的成本更低、成功率更高;
网络攻击时普遍存在的问题,威胁了65%的服务提供商,可能带来供应链中断风险;
22%的服务商存在可从互联网利用的安全漏洞;
与服务提供商在营销层面上合作的同时更容易引起泄露事件;
黑名单”问题也不容忽视,可能引起系统无法访问,导致客户投诉。

二、服务商总体安全状况

针对400家服务提供商进行安全评估和综合评分,整体安全值得分为827。这些服务提供商与很多大型消费品公司在多个层面上有着紧密的合作,并且比大多数消费品公司自身的网络安全水平要低,所以攻击服务商的成本更低,成功率更高。下图对四类服务商分别进行了安全评分:

注:“安全值”评分是结合企业的风险类型、事件影响程度、发生时间点、持续时间、频率等因素,进行加权计算得出的安全评价结果。安全值:0-1000分(风险高→风险低)。

三、服务提供商详细评估

1. 企业与服务商合作开展营销类业务时面临着极高的安全挑战

服务商样本中,评分较低的是营销类,安全值788分,近年来随着互联网和大数据技术的发展,很多新技术应用到营销服务中,包括开展大数据营销、精准投放、以及各种渠道的分销商等,加强互联网业务的同时也面临着更严峻的安全风险挑战。本次对100家营销类服务商的分析发现,出现安全漏洞、网络攻击、恶意代码、僵尸网络、黑名单的比例都比其它三类服务商要高,安全风险不容忽视。

相对评分最高的类型是运营类,安全值868分,他们主要包括了客户服务支持、物流服务、支付业务等,会直接接触和处理客户信息。近三分之二的遭受到网络攻击,约三分之一的存在安全漏洞和僵尸网络,并没有发现有黑名单的问题。

2. 服务商互联网资产分析

本次分析的400家服务商,共发现互联网资产441,905个,其中包括域名1,570个、面相互联网开放的主机服务418,060个、公网IP地址22,275个。

基础设施类包含云主机、云存储等在线服务,利用互联网提供给大量用户广泛引用,在云基础设施环境下的威胁更加复杂,除了面临着来自云计算以外的威胁(南北向流量),还需要抵御云资源池内部的威胁(东西向流量)。

2017年7月,Verizon公司超过1400万用户个人资料因第三方供应商NICE Systems云服务器安全配置不当遭到外泄。数据所属的云存储被配置为允许公开访问并可完全下载,意味着只要输入对应的URL,任何人都可轻松访问数据库中多达数TB的敏感内容。

互联网资产包括以下类型:

  • “域名” 组织经过ICP备案的域名;
  • “主机”(子域名)面向互联网开放的主机服务地址(例如:Web网站、Email服务、接口服务、业务系统等);
  • “IP网络” 在线系统所使用的IP网络地址(包括本地服务器、IDC托管、云主机等)。

四、关键风险分析

1. 服务商遭受到拒绝服务攻击可能引发业务中断

从分析结果来看,近一年内,约三分之二的服务商都曾遭受到DDOS拒绝服务攻击,分析发现攻击事件共110,919次,主要攻击类型为TCP半连接攻击和UDP放大攻击。服务提供商的网络受到拒绝服务可能导致系统无法访问,企业业务流程中如果依赖服务商的系统,在服务商系统受到攻击时是无法访问的,影响企业的正常业务开展。例如使用第三方SaaS模式的ERP、CRM等系统平台、支付接口、物流系统,或者使用云主机、云存储等服务。

2016年10月 DNS服务提供商Dynamic Network Service公司(简称Dyn)曾遭遇的DDOS攻击,使Twitter、GitHub、PayPal、BBC、华尔街日报、Xbox官网、CNN、HBO、星巴克、纽约时报等站点无法访问,本次事件波及到近“半个美国”的互联网。

主流的网络攻击类型是拒绝服务攻击(即: DDOS攻击),这种攻击类型的成本极低,但影响较大,可以直接导致系统服务中断,在黑色产业链中实施一次DDOS只需要支付40元/G(形成一次100G的攻击足够使一般的网络服务中断,而攻击者仅需支付4000元),但企业购买100G网络带宽的成本是非常高的,在经济利益的驱使下,攻击者实施攻击并进行勒索的驱动力非常强,而竞争对手也可能会利用这种方法干扰组织业务的正常开展。

防护DDOS攻击的技术建议:防范TCP半连接攻击,主要通过缩短SYN响应时间或设置SYN Cookie过滤TCP包等手段来实施;对于UDP放大攻击,可以通过限制UDP包大小,或建立UDP连接规则来达到过滤恶意UDP包,减少攻击发生的效果。

另外面临的网络攻击风险更加多样,本次分析过程中,发现了系统开放大量不必要的默认端口,例如:443端口等,加大了被攻击的范围。很多端口上运行的服务均采用默认配置,没有进行安全加固。

2. 22%的服务商仍然存在“安全漏洞”

分析发现22%的服务商仍然存在“安全漏洞”,并结合威胁事件或者脆弱性发生的频率、影响程度、时间距离等指标进行综合计算,量化各类风险对比差异,发现“安全漏洞”的评分远远低于其它类别,应该被重点关注。

分析师对2017年5月到2017年8月期间的安全漏洞信息进行分析,发现主要存在七种安全漏洞类型,出现数量最多的是OpenSSL加密漏洞(CVE-2015-0204),本次发现662个,这种漏洞属于高危漏洞,比较常见。存在CVE-2015-0204漏洞可能会导致系统内文件被篡改的风险。应及时对OpenSSL进行更新。

另外分析发现31个Heartbleed(CVE-2014-0160)漏洞,该漏洞在2014年时曾引起巨大轰动,在国内被译为“ OpenSSL心脏出血漏洞”,因其破坏性之大和影响的范围之广,堪称网络安全里程碑事件。全球第一个被攻击通告的案例加拿大税务局确认heartbleed导致了900个纳税人的社会保障号被盗,这900个纳税人的社保号被攻击者在系统中完全删除了。当时,中国的互联网公司几乎无一幸免,各公司也建立了应急响应机制。但在本次分析过程中服务提供商的系统仍然存在该漏洞,反应出安全意识的不足和响应效率相对较低。

安全漏洞管理是多方面的问题,技术上应该对系统漏洞进行发现和修补,跟踪安全趋势保证补丁修复的快速响应;管理上应该加强控制系统上线的安全测试、对应用第三方组建模块进行约定。安全漏洞管理必须是常态化的工作,加强发现和响应处理能力是关键。

3. “黑名单”的影响不容忽视

本报告发现20家服务商的域名被第三方机构列入黑名单,这类风险同样不容忽视。分析中发现2017年8月,一些提供云存储业务的服务提供商系统上被用户上传恶意文件,用户访问的域名被Google Safebrowsing列入域名黑名单内,导致所有用户在该系统上进行URL访问时都被浏览器禁止,随后该服务商接到了大量的客户投诉。

另外发现115家服务商的IP地址也被列入黑名单,黑名单库信息是被共享并在在很多品牌的防火墙中进行策略应用的,当企业访问一个黑名单地址时会被防火墙拦截或者告警可能导致正常的通讯中断。

4. 其他风险分析

2017年1月至8月,发现125家服务商出现恶意代码事件2133次。部分恶意代码来自内部对于上线的文件、页面未进行检测,缺乏管理;另一部分则来自外部的上传攻击。值的注意的是,恶意代码可能会导致域名被列入黑名单,使用户无法访问在线服务。

只有5%的服务商的邮箱处于“垃圾邮件”域中,这可能会导致服务商邮箱发出的邮件被客户企业的邮件防火墙当成垃圾邮件处理,这可能会影响企业间的邮件往来不畅,这可能是向外大量发送推广邮件或者携带病毒的邮件而导致,在经营营销类服务的提供商中更需要注意。

僵尸网络也是常见问题,是组织的主机服务器被入侵之后对外部发起恶意的流量,发现企业存在僵尸网络说明主机存在后门木马,被称为“肉机”,攻击者可以通过“肉机”进一步渗透到企业内网,窃取数据、破坏系统或者潜伏下来,等待机会造成更严重的破坏。

五、总结和建议

1. 对消费品公司加强供应商安全风险管理的建议

保护企业的商业信息和保证业务连续性是必要的,在关注对自身信息安全建设的同时,不能忽视供应商带来的安全威胁,上述的典型案例也说明了这一点。报告发现一般的服务提供商的安全水平远低与所服务的客户,从互联网的角度也可以看出不同程度的安全风险,供应商上的安全问题给企业带来了极大的威胁。当然,供应商安全管理只是供应链安全的一个部分,我们仅针对如何做好供应商安全风险管理给出了一些实施建议:

  • 明确对供应商安全风险管理责任;
  • 根据企业战略与涉及的业务,识别风险,分析风险偏好;
  • 根据业务的种类、重要程度、影响等因素,定义供应商分级管理流程;
  • 持续监控所有服务商的安全状况;
  • 考虑投入成本,对高风险且重要的供应商定期实施现场评估;
  • 将信息安全要求纳入到对供应商的准入要求和评价体系;
  • 在合同/SLA中对供应商的信息安全提出明确要求。

2. 对服务商提升自身安全能力的建议

供应商需要提升自身的信息安全能力,根据实际情况建立安全风险管控制度、策略与体系;积极采用技术手段保障信息安全,如购买安全相关设备与工具、使用安全服务、搭建安全事件分析响应平台等;注意员工素质培养,提升员工安全意识与专业能力。

六、附录

1. 关于评分

根据标准风险评估方法论,从外部数据中分析风险三要素,资产(A)、脆弱性(V)、威胁(T),并提取频率、时间、数量、影响程度等关键指标,逐个对供应商进行安全风险(R)并进行定量计算R = F(A,V,T),最终得出对供应商安全评价的得分结果,安全值。

2. 安全风险的名词解释

安全漏洞:主机操作系统和安装的组件存在严重的拿权缺陷,会使服务器遭受病毒或黑客入侵,引起信息泄露或篡改。
网络攻击:企业在互联网上的应用系统或网络遭受到DDOS拒绝服务攻击,包括TCP攻击或UDP攻击的报警信息,拒绝服务攻击通过流量攻击的方式攻击系统或网络,过大的攻击流量会引起服务中断。
垃圾邮件:被列为垃圾邮件发送域,一旦被反垃圾邮件设备拦截,将导致用户可能无法正常收到邮件。
恶意代码:来自国内外安全厂商的恶意代码检测结果,系统可能已经被植入后门、病毒或者恶意脚本。
僵尸网络:网络服务器会向外部发起扫描或者攻击行为,服务器主机可能被入侵,存在后门被远程控制。
黑名单:域名或者IP地址被权威黑名单机构列入黑名单,用户的正常网页访问可能被浏览器拦截或者IP网络通讯被防火墙阻断。

3. 服务商列表(字母排序)

本报告由“安全值”团队提供,您可以访问https://www.aqzhi.com下载所有报告,同时可以联系安全值来定制您所需要的分析报告。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章