供应链账户接管：犯罪分子如何利用第三方渠道

对于所有规模的企业来说，不仅要将供应商的攻击面视为自己的攻击面，还要扩展一些安全保护措施。

授权供应商抵御攻击

一般企业根据其运营需求，与复杂的第三方网络共享数据。在一项针对安全和风险专业人士的调查中，Forrester了解到，平均每个企业有4700个第三方合作伙伴可以访问公司数据。

第三方关系以难以监视和控制的方式扩展您的攻击面。在Forrester的调查中，只有14%的受访者表示，他们有信心能够有效跟踪所有第三方。

这些威胁中最隐蔽、最具潜在破坏性的是账户接管（ATO），即网络犯罪分子获取电子邮件和密码组合，并利用它们获得对企业网络的未经授权访问。这为犯罪分子提供了各种攻击类型的跳板。从地下犯罪分子那里收集的数据表明，大型企业面临着持续的ATO风险。SpyCloud对《财富》1000强公司风险的研究显示，共有2300万份公开的企业凭据，并且密码重用率很高。

对于所有规模的企业来说，不仅要将供应商的攻击面视为自己的攻击面，还要将一些安全保护措施扩展到供应商身上。这样做有助于供应商补救存在威胁的合作伙伴组织的风险。

以下是三种通过第三方生态系统对您的业务构成风险的攻击类型的摘要：

商业电子邮件妥协
2019年，商业电子邮件妥协（BEC）损失显著增长：联邦调查局互联网犯罪投诉中心（FBI Internet Crime Complaint Center）测算，2018年5月至2019年6月，BEC损失增长100%。攻击技术也有所创新，其中包括一个假冒声音骗局的关键案例中。2019年的增长和创新可能预示着在第三方或通过第三方发起BEC攻击的频率增加。

通常，攻击者可能会接管电子邮件帐户，并在内部发送有关将电汇或存入某些“新供应商”的消息随着BEC在过去几年中变得越来越流行，犯罪分子认识到，他们可以通过从实际供应商的帐户发送这些信息来为他们虚假的行动呼吁增加合法性，从而导致所谓的“供应商电子邮件妥协”。第一步是劫持公司帐户；第二步是以交易问题或账户变更为幌子，将资金转移到犯罪控制的帐户中。

企业可以授权供应商防止这种欺诈行为和相关损失。通过供应商风险管理解决方案直接与供应商共享帐户风险数据是传达紧迫感的最有效方法这种紧迫感可用于解决使您俩都处于风险中的问题，并且看到他们的实际风险数据可为他们的安全团队指明正确的方向。或者，安全团队可以定期检查恢复的与供应商连接的电子邮件地址的泄露数据，并与他们手动共享这些信息，尽管这可能很快变得相当麻烦。但是，帮助第三方快速修复漏洞可以提高信誉，并增强您组织的整体安全状况。

在与新供应商建立合作伙伴关系之前也应执行此类检查。不要向已经易受攻击的合作伙伴授予数据访问权限。

数据盗窃

除财务盗窃外，帐户接管还可以帮助攻击者发起数据攻击。供应商和合作伙伴通常可以获得宝贵的企业机密，如客户数据、知识产权和竞争情报，使它们成为有价值的目标。

通过访问供应商受损的凭据，攻击者可能会尝试使用被盗信息登录到公司网络、远程文件共享、协作软件等，以搜索有关合作伙伴和客户的数据。

例如，许多企业将开发外包给承包商。如果开发者的登录凭据出现在地下犯罪分子中，则攻击者可以很容易地使用该信息接管其帐户并获得对秘密帐户密钥的访问权限，从而提供对大量敏感数据的访问权限。

同样，定期主动搜索被破坏的凭据有助于防止这些数据攻击。

企业已经对特权访问数据进行了严格控制。在当今的安全形势下，对访问和身份管理策略太过信任。大多数人不知道他们什么时候被曝光，所以企业需要有工具来验证具有特权访问权限的合作伙伴没有受到损害。

恶意软件分发

攻击者可能再次通过可信赖的合作伙伴来传播恶意软件感染。通过访问电子邮件和CRM系统，他们可以将恶意链接放到看似无害的电子邮件中，或使用伪造的发票或其他文档将恶意软件传递到目标网络。

其他类型的特权访问可以启用更有害的传递机制。攻击者可能使用合同开发者的受损凭据提交代码。如果犯罪分子使用该访问权限分发后门，则安装您的软件的任何人都会受到相同威胁。

同样，如果罪犯获得了对广告联合网络的访问权限，那么所有连接到这些广告的组织都将成为投放机制。

网络犯罪的策略，技术和程序始终在发展，并且随着地下服务机构对犯罪软件的民主化访问，供应链成为一种越来越有吸引力的媒介，犯罪分子可以通过它随着时间的推移来测试企业的防御能力。2018年有21％的数据泄露是由第三方造成的，我们预计这一数字在2019年最后一次统计到来时会增加。企业必须开始将其供应商的攻击面视为自己的攻击面，在供应链中扩展安全工具，并授权第三方抵御其发起的账户收购和后续攻击。