【IT168专稿】供应商、承包商以及其它可与之交易的外方都会带来严重的安全风险。本文重点关注如何检查这种威胁。

　　今年5月中旬，洛克希德马丁(Lockheed Martin)公司公司通知执法和政府机关，其系统已遭到破坏。该公司随后证实，攻击者使用从RSA(该公司的安全技术供应商)窃取的信息??，访问了公司的信息。

　　RSA并不是受到牵连的唯一的第三方。攻击者首先损害了与马丁公司合作的一个不知名的承包商，进而攻入了马丁的系统。然后，攻击者使用从RSA侵害中所获得的信息，即关于RSA的SecurID一次性口令技术，并通过受损害的承包商系统进入了马丁公司的网络。

　　其实，与马丁公司一样，许多公司也与承包商、合约人、云服务提供商以及其它第三方保持着密切的联系。这就给了攻击者入侵企业网络和数据的新登录点。攻击者不仅搜索有漏洞的服务器，他们还搜寻易受攻击的承包商和供应商。而受害人往往对这些供应商的安全管理知之甚少。

　　如果你认为马丁公司的这种事件仅仅是一个例外，那就大错特错了。电子邮件营销公司Epsilon披露了与其有关联的100多家公司受到损害的情况，其中包括包括花旗银行、摩根大通、卡夫、连锁超市克罗格、万豪国际集团等。这些公司都曾警告过其客户，他们的姓名和电邮地址可能已经受到了破坏。

　　安全分析公司RedSeal的首席科学家迈克.洛德说，Epsilon所发生的问题是，将自己的数据放到其它公司的网络上，或者其它网络可以自由地访问这些数据，这会导致严重的后果。

　　因而对任何公司而言，了解自己的供应商对于搞好信息安全是非常重要的。

　　由供应商所导致的安全威胁是很难对付和预防的，部分原因在于供应商并不容易鉴别和确认。如今的供应商并不仅仅提供原料和产品，还扮演或包括外包商和技术服务供应商等角色。有些供应商提供云服务，可以让公司将数据存储在公司网络防火墙之外。还有些供应商还提供可支付使用的技术和产品，如软件等。有许多供应商对特定的项目提供专门技术，并可以从内部来访问系统。

　　到目前为止，共有三种供应商威胁。首先，来自供应链中受到损害的公司，其产品所带来的危险，例如包含后门访问的软件及受到损害的销售终端。第二种是由不安全的供应商在访问客户网络和数据时所带来的风险，这种供应商可以将恶意软件和有安全漏洞的硬件带到公司的网络中。第三种风险发生在公司将其敏感数据导出到云供应商的系统之时。而且，云供应商还增加了公司数据的威胁，因为单独一个服务供应商存储着太多的客户数据。

　　贵公司是否准备好了应对这些风险的措施?