400家企業服務商網路安全報告

最新 09-14

一、概述

1.1.報告介紹

隨著互聯網和數字化經濟的發展，很多企業正在進行數字化轉型，通過數字化、網路化等手段，在市場營銷、業務運營和企業管理等多方面應用新技術、開展新業務。同時供應關係也發生了巨大的變化。例如雲服務提供商提供多樣服務，讓組織將自己的核心生產環境或重要信息遷移到雲平台上，它讓供應商的接入也從企業邊緣地帶轉變為與企業核心業務的捆綁；另外大多數國際消費品公司會通過各種分銷商合作夥伴進行業務合作，共同服務客戶，開展多樣化的業務，改變了傳統供應關係。

商業數據的價值越來越高，受到了黑產和競爭對手的極大威脅，組織在自身網路系統內做好保護的同時，絕對不能忽視供應商的安全問題，因為他們也掌握了你的商業數據和信息（例如：客戶資料、訂單信息等），一旦泄漏，組織和供應商都受到極大的影響，可能帶來客戶流失、投訴、甚至法律訴訟。德勤的報告《Third-party Governance and Risk Management》中指出：20.6%的受訪企業都經歷過由第三方風險導致的敏感客戶數據被破壞。(https://www2.deloitte.com/uk/en/pages/risk/articles/third-party-risk.html)

「安全值平台」監測了16,167家企業服務提供商，包括提供辦公自動化、營銷服務、法律服務、IT設施服務、綜合解決方案服務、財務服務、稅務服務、企業安全、數據服務、客戶服務和B2D開發者服務等多種服務的提供商。2017年9月，分析師選擇了為大型消費品公司提供企業服務的主流服務商400家（詳見附錄），進行了安全分析。包括提供市場推廣、大數據營銷等業務的營銷類服務提供商（以下簡稱「營銷類服務商」）；開展客戶服務、物流服務等業務的運營類服務提供商（以下簡稱「運營類服務商」）；提供公有雲主機、CDN、雲存儲等IT基礎實施服務的服務商（以下簡稱「基礎設施類服務商」）；以及通過SaaS模式提供ERP、CRM、OA等管理信息化類型服務的服務商（以下簡稱「管理服務類服務商」），共計400家。基於「安全值」的安全大數據分析技術，對安全漏洞、網路攻擊、垃圾郵件、惡意代碼、殭屍網路、域名黑名單、IP黑名單七類安全數據進行分析，從互聯網的角度，識別服務商網路安全漏洞和威脅，分析安全風險，總結出安全建議。

2. 主要發現

√服務商的安全值得分827分（滿分1000），排名第五，比大多數行業自身安全性要低，所以攻擊服務商的成本更低、成功率更高；

√網路攻擊時普遍存在的問題，威脅了65%的服務提供商，可能帶來供應鏈中斷風險；

√22%的服務商存在可從互聯網利用的安全漏洞；

√與服務提供商在營銷層面上合作的同時更容易引起泄露事件；

√黑名單」問題也不容忽視，可能引起系統無法訪問，導致客戶投訴。

二、服務商總體安全狀況

針對400家服務提供商進行安全評估和綜合評分，整體安全值得分為827。這些服務提供商與很多大型消費品公司在多個層面上有著緊密的合作，並且比大多數消費品公司自身的網路安全水平要低，所以攻擊服務商的成本更低，成功率更高。下圖對四類服務商分別進行了安全評分：

註：「安全值」評分是結合企業的風險類型、事件影響程度、發生時間點、持續時間、頻率等因素，進行加權計算得出的安全評價結果。安全值：0-1000分（風險高風險低）。

三、服務提供商詳細評估

1. 企業與服務商合作開展營銷類業務時面臨著極高的安全挑戰

服務商樣本中，評分較低的是營銷類，安全值788分，近年來隨著互聯網和大數據技術的發展，很多新技術應用到營銷服務中，包括開展大數據營銷、精準投放、以及各種渠道的分銷商等，加強互聯網業務的同時也面臨著更嚴峻的安全風險挑戰。本次對100家營銷類服務商的分析發現，出現安全漏洞、網路攻擊、惡意代碼、殭屍網路、黑名單的比例都比其它三類服務商要高，安全風險不容忽視。

相對評分最高的類型是運營類，安全值868分，他們主要包括了客戶服務支持、物流服務、支付業務等，會直接接觸和處理客戶信息。近三分之二的遭受到網路攻擊，約三分之一的存在安全漏洞和殭屍網路，並沒有發現有黑名單的問題。

2. 服務商互聯網資產分析

本次分析的400家服務商，共發現互聯網資產441,905個，其中包括域名1,570個、面相互聯網開放的主機服務418,060個、公網IP地址22,275個。

基礎設施類包含雲主機、雲存儲等在線服務，利用互聯網提供給大量用戶廣泛引用，在雲基礎設施環境下的威脅更加複雜，除了面臨著來自雲計算以外的威脅（南北向流量），還需要抵禦雲資源池內部的威脅（東西向流量）。

2017年7月，Verizon公司超過1400萬用戶個人資料因第三方供應商NICE Systems雲伺服器安全配置不當遭到外泄。數據所屬的雲存儲被配置為允許公開訪問並可完全下載，意味著只要輸入對應的URL，任何人都可輕鬆訪問資料庫中多達數TB的敏感內容。

互聯網資產包括以下類型：

「域名」組織經過ICP備案的域名；

「主機」（子域名）面向互聯網開放的主機服務地址（例如：Web網站、Email服務、介面服務、業務系統等）；

「IP網路」在線系統所使用的IP網路地址（包括本地伺服器、IDC託管、雲主機等）。

四、關鍵風險分析

1. 服務商遭受到拒絕服務攻擊可能引發業務中斷

從分析結果來看，近一年內，約三分之二的服務商都曾遭受到DDOS拒絕服務攻擊，分析發現攻擊事件共110,919次，主要攻擊類型為TCP半連接攻擊和UDP放大攻擊。服務提供商的網路受到拒絕服務可能導致系統無法訪問，企業業務流程中如果依賴服務商的系統，在服務商系統受到攻擊時是無法訪問的，影響企業的正常業務開展。例如使用第三方SaaS模式的ERP、CRM等系統平台、支付介面、物流系統，或者使用雲主機、雲存儲等服務。

2016年10月 DNS服務提供商Dynamic Network Service公司（簡稱Dyn）曾遭遇的DDOS攻擊，使Twitter、GitHub、PayPal、BBC、華爾街日報、Xbox官網、CNN、HBO、星巴克、紐約時報等站點無法訪問，本次事件波及到近「半個美國」的互聯網。

主流的網路攻擊類型是拒絕服務攻擊（即： DDOS攻擊），這種攻擊類型的成本極低，但影響較大，可以直接導致系統服務中斷，在黑色產業鏈中實施一次DDOS只需要支付40元/G（形成一次100G的攻擊足夠使一般的網路服務中斷，而攻擊者僅需支付4000元），但企業購買100G網路帶寬的成本是非常高的，在經濟利益的驅使下，攻擊者實施攻擊並進行勒索的驅動力非常強，而競爭對手也可能會利用這種方法干擾組織業務的正常開展。

防護DDOS攻擊的技術建議：防範TCP半連接攻擊，主要通過縮短SYN響應時間或設置SYN Cookie過濾TCP包等手段來實施；對於UDP放大攻擊，可以通過限制UDP包大小，或建立UDP連接規則來達到過濾惡意UDP包，減少攻擊發生的效果。

另外面臨的網路攻擊風險更加多樣，本次分析過程中，發現了系統開放大量不必要的默認埠，例如：443埠等，加大了被攻擊的範圍。很多埠上運行的服務均採用默認配置，沒有進行安全加固。

2. 22%的服務商仍然存在「安全漏洞」

分析發現22%的服務商仍然存在「安全漏洞」，並結合威脅事件或者脆弱性發生的頻率、影響程度、時間距離等指標進行綜合計算，量化各類風險對比差異，發現「安全漏洞」的評分遠遠低於其它類別，應該被重點關注。

分析師對2017年5月到2017年8月期間的安全漏洞信息進行分析，發現主要存在七種安全漏洞類型，出現數量最多的是OpenSSL加密漏洞（CVE-2015-0204），本次發現662個，這種漏洞屬於高危漏洞，比較常見。存在CVE-2015-0204漏洞可能會導致系統內文件被篡改的風險。應及時對OpenSSL進行更新。

另外分析發現31個Heartbleed（CVE-2014-0160）漏洞，該漏洞在2014年時曾引起巨大轟動，在國內被譯為「 OpenSSL心臟出血漏洞」，因其破壞性之大和影響的範圍之廣，堪稱網路安全里程碑事件。全球第一個被攻擊通告的案例加拿大稅務局確認heartbleed導致了900個納稅人的社會保障號被盜，這900個納稅人的社保號被攻擊者在系統中完全刪除了。當時，中國的互聯網公司幾乎無一倖免，各公司也建立了應急響應機制。但在本次分析過程中服務提供商的系統仍然存在該漏洞，反應出安全意識的不足和響應效率相對較低。

安全漏洞管理是多方面的問題，技術上應該對系統漏洞進行發現和修補，跟蹤安全趨勢保證補丁修復的快速響應；管理上應該加強控制系統上線的安全測試、對應用第三方組建模塊進行約定。安全漏洞管理必須是常態化的工作，加強發現和響應處理能力是關鍵。

3. 「黑名單」的影響不容忽視

本報告發現20家服務商的域名被第三方機構列入黑名單，這類風險同樣不容忽視。分析中發現2017年8月，一些提供雲存儲業務的服務提供商系統上被用戶上傳惡意文件，用戶訪問的域名被Google Safebrowsing列入域名黑名單內，導致所有用戶在該系統上進行URL訪問時都被瀏覽器禁止，隨後該服務商接到了大量的客戶投訴。

另外發現115家服務商的IP地址也被列入黑名單，黑名單庫信息是被共享並在在很多品牌的防火牆中進行策略應用的，當企業訪問一個黑名單地址時會被防火牆攔截或者告警可能導致正常的通訊中斷。

4. 其他風險分析

2017年1月至8月，發現125家服務商出現惡意代碼事件2133次。部分惡意代碼來自內部對於上線的文件、頁面未進行檢測，缺乏管理；另一部分則來自外部的上傳攻擊。值的注意的是，惡意代碼可能會導致域名被列入黑名單，使用戶無法訪問在線服務。

只有5%的服務商的郵箱處於「垃圾郵件」域中，這可能會導致服務商郵箱發出的郵件被客戶企業的郵件防火牆當成垃圾郵件處理，這可能會影響企業間的郵件往來不暢，這可能是向外大量發送推廣郵件或者攜帶病毒的郵件而導致，在經營營銷類服務的提供商中更需要注意。

殭屍網路也是常見問題，是組織的主機伺服器被入侵之後對外部發起惡意的流量，發現企業存在殭屍網路說明主機存在後門木馬，被稱為「肉機」，攻擊者可以通過「肉機」進一步滲透到企業內網，竊取數據、破壞系統或者潛伏下來，等待機會造成更嚴重的破壞。

五、總結和建議

1. 對消費品公司加強供應商安全風險管理的建議

保護企業的商業信息和保證業務連續性是必要的，在關注對自身信息安全建設的同時，不能忽視供應商帶來的安全威脅，上述的典型案例也說明了這一點。報告發現一般的服務提供商的安全水平遠低與所服務的客戶，從互聯網的角度也可以看出不同程度的安全風險，供應商上的安全問題給企業帶來了極大的威脅。當然，供應商安全管理只是供應鏈安全的一個部分，我們僅針對如何做好供應商安全風險管理給出了一些實施建議：

明確對供應商安全風險管理責任；

根據企業戰略與涉及的業務，識別風險，分析風險偏好；

根據業務的種類、重要程度、影響等因素，定義供應商分級管理流程；

持續監控所有服務商的安全狀況；

考慮投入成本，對高風險且重要的供應商定期實施現場評估；

將信息安全要求納入到對供應商的准入要求和評價體系；

在合同/SLA中對供應商的信息安全提出明確要求。

2. 對服務商提升自身安全能力的建議

供應商需要提升自身的信息安全能力，根據實際情況建立安全風險管控制度、策略與體系；積極採用技術手段保障信息安全，如購買安全相關設備與工具、使用安全服務、搭建安全事件分析響應平台等；注意員工素質培養，提升員工安全意識與專業能力。

六、附錄

1. 關於評分

根據標準風險評估方法論，從外部數據中分析風險三要素，資產（A）、脆弱性（V）、威脅（T），並提取頻率、時間、數量、影響程度等關鍵指標，逐個對供應商進行安全風險（R）並進行定量計算R = F（A，V，T），最終得出對供應商安全評價的得分結果，安全值。