警惕！第三方风险正在入侵企业云安全

第三方风险正在让企业的云安全管理变得举步维艰。

IDC 近期发布的一份市场预测表明，亚太地区的公有云服务市场总值将于 2026 年达到 1536 亿美元，该数字十分惊人，因而各公司面临填补其云基础架构缺口的压力。与之伴随的是第三方风险可能对企业构成实质性威胁。

毫无疑问，云架构变得越来越复杂，随之面临的风险也越来越大。数据显示，2023年云环境已然成为网络攻击者的首选攻击目标，造成的损失高达475万美元。

显然，尽管绝大多数亚太地区 (APAC) 企业将云视为其战略的关键，但许多企业发现自己成了数据丢失以及从恶意软件到分布式拒绝服务等各种网络攻击的受害者。而其中很大一部分原因在于第三方风险的入侵——包括供应商、合作伙伴以及云服务提供商在内的第三方在企业的云环境中制造了相当大的安全漏洞。

根据IBM的《2023年数据泄露成本报告》显示，67%的数据泄露事件是由良性第三方或攻击者自己报告的。

Akamai 云计算产品线首席技术官Jay Jenkins

“第三方供应商使用的平台可以根据服务中托管的数据类型创建不同的威胁级别。因此，当黑客可以在这些主机内操作并且长时间不被发现时，企业意识到检测到的和未检测到的威胁是至关重要的。”Akamai 云计算产品线首席技术官Jay Jenkins透露，一方面，随着攻击者获得的信息越来越敏感，可能会让个人客户面临威胁。攻击者通过攻破第三方所获得数据将有极大的可能被滥用，发动包括身份窃取、商务欺诈、账户接管等攻击。

当然，也有极大的概率被用于入侵其上下游用户，继续发动更多、更大的攻击行为。在这一过程中，相关企业的敏感数据、客户信息等都有可能因此而惨遭窃取、泄露。企业需要警惕各类不同程度的威胁。

另一方面，从基于机器的安全转向基于服务的安全后，不论在第三方还是云端，企业都需要了解端点，包括不同的应用程序编程接口 (API)，以及这些服务的托管位置。

“API 是现代软件开发的重要组成部分，且越来越多地被众多企业所采用。它们是不同系统之间彼此通信以及共享数据和功能的‘桥梁’。”在Jay Jenkins看来，正如计算领域的其他方面一样，API 安全保护也是企业非常关注的一个问题。

事实上，数字转型计划、云迁移项目等持续深化，API快速迭代，使用数量大幅上升，API成为更多企业访问数据/服务的接口的同时，也成为了众多黑产团伙攻击的“靶心”。

企业似乎难以掌控那些难以被发现、看不见摸不着的API安全状况，尤其是第三方API。他们不仅要面对愈加复杂、隐蔽的新型攻击，还要在人员、资源有限的情况下应对高强度安全运营工作。

可预见的是，随着云计算的广泛应用，企业越来越依赖云服务提供商来提供基础设施、平台和应用服务。Jay Jenkins认为，在这个过程中，企业想要有效管理和控制第三方的访问以及降低供应商带来的潜在风险需要分“两步走”。

首先，企业要做好防范潜在威胁的准备。熟悉第三方供应商认证。查看他们的安全认证，了解认证所代表的含义，并进行实际审查，这有助于发现其安全态势方面存在的任何不一致情况。

与此同时，安全认证通常会附带一个特定的服务列表。公司也必须开展尽职调查，并了解他们可能使用哪些服务以及这些认证涵盖其中的哪些服务。建议各公司对这些服务自行开展渗透测试以及了解自己在这些领域以及对于第三方供应商的风险偏好。

“对于仍依赖防火墙等技术的企业来说，选择使用基于服务的网络可能会增强安全性、提高服务质量并优化系统。”Jay Jenkins认为，云的分布式特性，已经改变了连接需求。经历云化的企业现在依赖身份和凭据作为访问公司资源的主要手段，使得身份成为新的安全边界。另外，云已经将许多架构从整体转换为微服务，以支持更多的开发敏捷性。企业应评估此类网络的相关优势和风险，并确保网络与企业的整体业务和技术目标相一致。

其次，从头开始构建稳健系统。迁移到云端的小型企业不一定会成为黑客攻击的目标。然而，对于较大型云端企业来说，软件本身可能会成为攻击的目标。仅仅是使用这些服务，可能就会让企业在不知不觉中面临潜在攻击。

当涉及到云使用方面的内部治理时，理想情况下，团队应该有安全着陆区，以帮助他们在云中保持安全。将安全机制引入实际的软件供应链，确保从一开始就安全无虞，而不是事后才考虑安全问题和抵御攻击者，这对于攻击防御来说意义重大。

值得一提的是，亚太地区的创新和创业活动如火如荼，因而中小型企业 (SME) 能够以民主方式访问技术这一点非常重要。云平台必须保持简单易用且对开发人员友好，这样促进经济增长的这些引擎才能享受到与大型企业同样的云优势。

“虽然亚太地区的企业确实也认识到，提高安全性对于推动积极的业务成果至关重要，但找到合适的合作伙伴来提供一系列嵌入不同安全和深度防御层的产品和服务，这将成为应对不断演变的威胁形势的关键所在。”Jay Jenkins强调，在允许任何一个第三方供应商访问自己的系统之前，必须要对其进行全面审查，以确保他们已经拥有适当的安全流程。简单地说，就是将数据视作企业非常昂贵的资产，当涉及到谁能够去动用它们的时候，就必须对其进行评估和审查，甚至还需在后续不断进行这项工作，以确保对方的安全流程持续有效，这理应成为企业应对此类风险的基础操作。