第三方風險的隱藏危機：從資料外洩事件中學到的教訓

第三方風險是指機構在委託第三方軟件公司、互聯網服務供應商等外判IT服務時，因供應商的資訊保安標準不一致，從而引入的潛在威脅和漏洞。由於這些外判單位往往能夠接觸企業的敏感資料或基礎系統 ，因此成為網絡罪犯的攻擊目標之一。

第三方風險多因操作失誤、系統漏洞或保安不足而產生，忽略第三方風險可以引致資料外洩、業務中斷，甚至損害企業聲譽及帶來法律責任。隨著企業對IT外判服務的依賴日增，妥善管理第三方風險也變得十分重要。

近日針對IT服務外判商的網絡攻擊案例

最近有報導指出，多間國際公司如Marks & Spencer（M&S）、澳洲航空（Qantas）、香奈兒 ( Chanel ) 和潘多拉 ( Pandora ) 皆遭遇了同類的攻擊手法，即針對其第三方服務供應商的社交工程攻擊而導致資料外洩。

M&S遭受「雙重勒索」

在 M&S 的例子中，攻擊由第三方供應商開始，並最終演變成針對 M&S系統的勒索軟件攻擊。攻擊者利用詳細的個人資訊，假冒某 M&S 員工，並成功欺騙第三方客服中心重設該員工的密碼。攻擊者在取得員工的登入資訊後，便進入 M&S 的內部系統並部署 DragonForce 勒索軟體。M&S 為此被迫關閉所有系統以防止攻擊擴散。不幸的是，在M&S 採取行動的時候，有多台 VMware ESXi 伺服器已遭到加密，約 150GB 的資料被竊取。攻擊者還採用「雙重勒索」手法，不僅加密檔案，還威脅若不支付贖金就公開被竊的資料。事故發生後，對M&S的業務及聲譽都造成很大的打擊。 有報導指 M&S 的股價因為這次攻擊而下跌了7% 並導致了3億美元的利潤損失，同時所有線上服務將延至至少八月才能完全恢復。

澳洲最大航空公司 Qantas 客戶資料外洩

該公司於 7月1日披露指因第三方供應商的漏洞導致資料外洩。該事件被視為自 2022 年以來澳洲最轟動的網絡攻擊之一。儘管 Qantas 在黑客活動初期便迅速採取應對措施，但攻擊者仍成功竊取部分客戶的資料。Qantas 已證實此次資料外洩影響了 570 萬名客戶，其中 400 萬名客戶的外洩記錄包括姓名、電子郵件地址及 Qantas Frequent Flyer（常客計劃）資訊。而其餘 170 萬名客戶的外洩資料則涉及多項個人資訊的組合，包括地址、出生日期、電話號碼、性別以及餐飲偏好等。 

Chanel 的數據洩漏事故

事件於7 月 25 日首次曝光。黑客成功入侵由第三方服務供應商託管的數據庫，竊取大量個人信息，包括客戶的姓名、電子郵件地址、郵寄地址及電話號碼。此次事件僅影響美國客戶，尤其是那些曾聯絡 Chanel 客戶服務中心的用戶。

Pandora 遭受類似攻擊

該公司於8月5日向所有客戶發送電子郵件通知，指出有未授權人士透過入侵第三方服務供應商的數據庫，非法獲取客戶的姓名、出生日期及電子郵件地址。雖然 Pandora 已向客戶明確澄清，此次事件並未涉及密碼、身份證件或財務信息，但事件仍引發廣泛關注，許多客戶表達對安全性問題的擔憂以及對品牌的失望。 

根據多份報告指出，上述事故都是黑客利用精心策劃的社交工程手法，成功入侵第三方服務供應商的系統，並竊取大量敏感數據。事件令第三方服務供應商的安全風險再次成為企業關注的焦點之一，因為儘管問題並非源於企業本身，但這類事件往往能輕易讓大眾對品牌失去信任。由此可見，若要成為一家備受信賴的企業品牌，不僅需要自身具備強大的網絡安全防護能力，還必須對第三方風險進行有效管理，以全面保障客戶信任與品牌聲譽。 

預防來自第三方的網絡風險

以上事件突顯了管理第三方風險的重要性。鑑於事件的規模和潛在威脅，HKCERT 建議用戶和機構採取以下措施以預防第三方網絡風險措施：

1. 培訓服務台人員進行嚴密的身份驗證

確保服務台人員接受全面的培訓，讓服務台人員進行任何系統更改或提供內部信息之前，先準確核實員工的身份。這種培訓對於管理特權賬戶尤其重要，應涵蓋各種驗證方式如視訊或面對面驗證、身份驗證和挑戰應答認證等等。

2. 時刻提防釣魚攻擊

時刻核實電子郵件的發件人，並避免點擊任何可疑連結。對於緊急或異常的請求要保持警惕，並立即向你的 IT 或電腦安全團隊報告可疑訊息。如欲了解更多有關預防釣魚攻擊的措施，請瀏覽： https://www.hkcert.org/tc/publications/all-out-anti-phishing

3. 啟用多重因素驗證，加強帳戶保安

網絡服務商會提供多重因素驗證選項，要求用戶輸入驗證碼或額外授權才讓其登入，以免當用戶不慎洩露了密碼給黑客後而被盜用帳戶。同時，應培訓員工不要將多重因素驗證驗證碼分享給其他人並不要於不同帳戶間重用相同密碼。

4. 提高事故應變速度

制定並定時更新網絡安全事故應變計劃。與第三方服務供應商合作，建立清晰和預先同意的應對計劃包括溝通和報告程序等，以有效應對事故發生。以Qantas事件為例，保安團隊如能及時應對網絡保安事故，有助減低企業的損失。企業應部署端點偵測與回應（Endpoint Detection and Response, EDR）、SOAR/SIEM等監控工具，以提升對異常活動的偵測和回應效率，強化整體防禦能力。

5. 定期審查內部及外判商並進行全面的風險評估和供應商評估

在與第三服務供應商合作前、合作期間都應進行全面的網絡安全評估，以確保自身及外部服務供應商均符合高水平保安標準，並定期審查第三方的合規情況包括技術審核、政策審查以及對法規的合規性檢查等，以降低外部風險。

6. 限制和管理第三方訪問權限

應用最少權限原則並只授予第三方供應商必要的最低訪問權限。企業可以應用特權存取管理，多重因素驗證 (MFA) 和限時存取權限等方案來保護敏感數據和系統。

7. 審慎選用免費及開源軟件

免費或開源工具雖有成本優勢，但企業如未經審查便使用，則容易引入漏洞。因此，企業應選用信譽良好的軟件，並對引入的軟件進行安全審查。

8. 定期更新系統

所有系統、應用程式及裝置應保持最新版本，並及時安裝安全補丁，以堵塞漏洞。

9. 提升社交工程防範意識

透過社交工程進行的攻擊屢見不鮮，機構應定期為員工提供培訓，提升其識別釣魚電郵及可疑來電的能力，減少人為疏忽導致資料外洩的風險。
 

參考資料

[1] https://www.bleepingcomputer.com/news/security/mands-confirms-social-engineering-led-to-massive-ransomware-attack/

[2] https://www.bleepingcomputer.com/news/security/qantas-discloses-cyberattack-amid-scattered-spider-aviation-breaches/

[3] https://cloud.google.com/blog/topics/threat-intelligence/unc3944-proactive-hardening-recommendations 

[4] https://moneyweek.com/personal-finance/marks-and-spencer-online-order-problems 

[5] https://www.bleepingcomputer.com/news/security/fashion-giant-chanel-hit-in-wave-of-salesforce-data-theft-attacks/ 

[6] https://www.bleepingcomputer.com/news/security/pandora-confirms-data-breach-amid-ongoing-salesforce-data-theft-attacks/