4.通过服务供应商开展的隐藏攻击

大多数小型企业会借助第三方服务供应商来管理某些技术或业务难题。托管网站啦、创建内部邮件系统啦、使用云存储服务啦或者管理销售点系统啦，这些看似平常的工作都不是小企业自己能够处理的，必须由第三方帮助解决。但到这儿问题就来了——只要合作关系确立，双方就成了一条绳上的蚂蚱，供应商的安全漏洞也会对我们自己产生影响。

CloudFlare公司所遭受的攻击就是典型的例子，恶意人士从一开始就将目标设定为夺取CloudFlare的客户访问权上。比起直接对企业本身展开攻击，很多犯罪分子更喜欢对网络安全供应商下手——这样可谓一箭多雕，只要攻击得手，全部客户都会成为任人宰割的板上鱼肉。

根据安全服务供应商Trustwave公司（这家企业主要为零售及医疗机构提供服务）的调查分析，去年，76%的数据外泄事故与第三方系统管理有关。无独有偶，Verizon公司发布的年度数据泄露调查报告同样指出，在遭受数据泄露困扰的企业用户中，有46%采用了第三方合作伙伴的管理方案，且这一比例在过去三年中持续走高。

现在我们需要跟自己的服务供应商好好聊聊，寻求规避风险的最佳途径。电子邮件服务供应商必须正视安全问题的重要性，因为邮件系统往往是抵御攻击时最薄弱的环节。

“对于小型企业而言，员工的邮件账户就像一把万能钥匙，能够打开所有相关业务账户的大门，”Prince指出。“只要黑客成功取得邮件账户的控制权，那么其它所有账户的安保机制都将形同虚设。”许多攻击者都会利用由云服务供应商提供的邮件账户恢复机制来夺取企业托管服务的控制权。举例来说，遭遇侵袭的CloudFlare公司就选择将的私人邮箱地址作为企业在谷歌应用的官方账户，这样一来密码重置确认邮件就落入了恶意人士手中，后果自然不言而喻。

“花一整天时间为官方网站被攻击而向客户道歉当然很不好受，但如果黑客一下子划走数十万美元，那么企业将立刻面临倒闭。”——Internet Identity公司CEO Lars Harvey

许多新兴企业及小公司都采取了与CloudFlare同样的处理方式，这就给将来的事故埋下祸根。

各类财务事务也是值得关注的安全重点。第一，别利用自动票据交换交易进行企业间的转账活动，或者说应该尽可能禁用这项功能。其次，问问公司选择的银行能否提供额外的安全措施，例如双重身份验证、资金转移电话确认等机制，这些都能有效阻断恶意人士的阴谋诡计。

“要想安全地跟银行打交道，大家必须先确保自己拥有强大的控制权，否则赶紧换家合作银行，”Internet Identity公司CEO Lars Harvey告诉我们，这是一家专门处理客户互联网事务安全的企业。

讨论安全性话题应该成为选择第三方服务商的标准流程，Prince表示。由于经受到严重的恶意攻击，CloudFlare公司如今要求每一家供应商都必须提供严格的安全保障。

“‘贵公司能为我们的账户提供哪些额外安全保护？’如今在考虑与供应商开展合作之前，我们都会首先提出这个问题，”他告诉我们。

每一家供应商都应该有能力提供双重身份验证机制，例如便携型实时密码生成装置或者通过短信发送确认信息等。除此之外，我们还应该选择安全机制健全的移动手机品牌及管理企业，这样才能保证手机遗失后不会发生账户失窃等一系列后续问题。