据LAW360（美国一个基于订阅的法律新闻服务）给出的2019年的网络安全和隐私预测：1：网络钓鱼和民族国家黑客将成为焦点2：供应商安全威胁将加大3：各州将继续成为“民主实验室”4：国际数据传输格局将变得更加复杂5：物联网、加密货币将获得更多的监管利益其中第二条就是供应商安全威胁将加大，关于供应链安全，我们曾不止一次谈到，供应链安全在企业安全框架中至关重要，如若做不好，可能会使供应商、企业深陷泥潭。

本文阐述了供应链的安全问题，如访问控制不足、补丁管理不充分等问题，这些问题可能导致企业存在数据泄露风险，分析了供应链对数据安全保护6个方面的安全威胁。

不安全的身份管理和访问控制攻击者入侵目标网络的最常见方式之一是窃取和滥用第三方访问凭证。

由于各种原因，供应商、承包商、技术供应商和其他公司经常需要直接访问您的系统。

管理不善的访问特权使攻击者能够通过第三方帐户访问您的网络，并尝试跳转到更多的系统和网络。

多年来，许多组织也同样遭遇到跨站攻击。

Lockpath的行业解决方案副总裁Sam Abadir说:“攻击者可以通过第三方更容易地利用过度扩展的凭证。

”第三方通常不太关注钓鱼和社会工程攻击的安全培训，这使它们相对容易成为被窃取凭证的目标。

Abadir说:“与我们合作的公司开始意识到身份管理的风险，因为它涉及到与第三方的接触，而这往往被忽视。

”脆弱的业务连续性和灾难恢复实践通常情况下，组织认为他们的供应商已经准备好快速从数据泄露和其他安全事件中恢复，然后发现安全问题。

CynergisTek的首席执行官麦克米伦(Mac McMillan)说，在安全事件发生时，第三方的灾难恢复与应急响应能力至关重要。

供应商或其他第三方的准备不足会影响您执行正常业务功能的能力。

供应商环境中可能存在供应商容易受到干扰、数据和服务无法使用等问题，McMillan说:“客户依赖于他们的业务系统，因此对于关键业务系统、服务或数据的破坏将导致其遭受勒索攻击。

”滞后的安全事件通报过去几年中，相关法规对于信息安全事件通报的及时性、有效性变得越来越严格。

例如新出台的GDPR对于延迟披露安全事件的组织制定了严厉的惩罚措施。

因此，供应链上的第三方供应商在披露涉及客户数据和系统安全事件时，任何滞后的事件通报都会对你的组织产生直接影响。

来自CynergisTek的McMillan说：客户在选择有限或时间紧迫的情况下往往不能充分了解事件，当安全事件发生时可能导致比预期更严重的后果。

系统配置错误安全供应商UpGuard的分析师丹奥沙利文(Dan O'Sulpvan)表示，配置不当的第三方系统是一个主要风险。

当业务合作伙伴或其他第三方将敏感数据存储在不正确的IT系统上时，可能会发生糟糕的事情，会对相关企业造成双重灾难。

“虽然系统的漏洞对企业而言没有可见性或控制权，但是当他们与供应商共享的敏感信息因为系统的漏洞暴露出来时，他们将承受后果，”他举了一个例子：最近一家工程公司将数据放在一台可以通过互联网公开访问的服务器上时，不小心暴露了属于戴尔(Dell)和奥斯汀市(Austin)等客户的敏感数据。

O'Sulpvan指出，军事承包商在去年年底暴露了一个包含高度敏感军事数据的文件存储库。

漏洞管理措施不足美国三大个人信用评估机构之一的Equifax未能妥善处理其软件组件中已知漏洞，这可能是有史以来涉及敏感数据的最大漏洞之一。

如果您的第三方供应商没有遵循安全的补丁管理实践，您也会遇到同样的问题。

O'Sulpvan说，由于流程错误和失败而未经检查的漏洞表明看似简单但解决了强大的第三方威胁，O'Sulpvan说。

“这种威胁向量令人沮丧的是，坚固耐用的[企业IT]实践应该大大缓解这个问题，”他说。

“不幸的是，情况并非总是如此，其结果是一系列极具破坏性的数据泄露，这在很大程度上是可以预防的。

”O'Sulpvan说，由于流程错误和失误而导致漏洞没有被发现，这看起来很容易解决，但却导致第三方面临巨大威胁。

他表示这种安全威胁在有成熟的安全实践企业中应该很容易解决。

但不幸的是，情况并非总是如此，一些组织经常遭遇了破坏性极大的数据泄漏事件，这些破坏本来是可以预防的。

第三方组件风险开源和第三方组件可以显著加速软件开发。

但是如果你不小心的话，第三方软件工具也会在你的软件中引入很多漏洞。

Media Trust首席执行官克里斯奥尔森(Chris Olson)说，考虑到在一个组织中执行软件代码的50%至75%(有时甚至95%)来自第三方供应商，脆弱组件带来的风险尤其高。

Olson说：“最近几起备受关注的攻击事件表明，网站运营商需要对数据分析、数据管理、客户识别、聊天和图像库平台第三方提供商提高警惕。

”他指出，为了降低第三方组件风险，组织需要实施风险管理计划，包括对第三方供应商持续的安全监控与管理。