今年早些OPSWAT 一家第三方通信供应商OPSWAT 其系统发生了一起安全事件,该事件可能导致与我们租户相关的部分业务联系信息泄露。该通知直接由该供应商发出,随后双方团队展开了积极协调。
在接到通知OPSWAT 内部未发现任何恶意活动的迹象,也没有证据表明我们的客户数据遭到窃取,且当时不存在持续的威胁。尽管如此,我们仍以应有的严肃态度对待了这一情况。
作为首席信息安全官,此类事件再次印证了几个现实:这些现实在理论上谈来容易,但在实践中应对起来却困难得多。
首先,第三方风险已不再是次要问题。现代企业之间紧密相连。身份平台、SaaS 集成和客户互动系统虽能创造真正的商业价值,但也扩大了风险暴露面——一旦发生超出您直接控制范围的意外事件,即使您自身的安全态势稳固,其影响仍可能波及您的组织。
其次,公司内部的透明度与风险控制同样重要。在明确了事件范围和影响后,我们选择直接与员工沟通。我们并未将此视为一种现实威胁,但深知人们在了解情况后能做出更明智的决策。与其通过沉默制造不确定性,我们决定通过沟通来建立信任。
第三,响应质量取决于事前准备,而非临危不乱。我们的安全、IT 和企业应用团队之所以能够迅速行动,正是因为角色分工、升级流程和证据处理流程早已建立。日志得到了保留,访问路径经过了审查,并利用威胁情报排查了次生风险。这种纪律性是在事件发生之前就已建立起来的,正是因为我们深知,如果没有事先打好基础,在事件发生时是无法临时建立起这种纪律性的。
最后,此类事件之后往往会出现网络钓鱼或社会工程学攻击。即使系统本身依然安全,人们仍可能成为攻击目标。提高警惕、核实意外请求以及报告可疑活动,仍然是我们最有效的防御手段之一。
我提出这一观点,旨在强调一个更广泛的原则,而非着重讨论某家供应商的具体事件。网络安全不仅涉及防范安全漏洞,还包括组织应对影响其环境的事件的方式、沟通的清晰度,以及持续巩固利益相关者之间的信任。
OPSWAT我们将继续将安全视为一项运营职责,而非背景性职能。这意味着我们要对自己和合作伙伴提出高标准要求,在关键时刻保持开放沟通,并始终牢记:韧性源于准备和人的力量,而非完美。
- Mike Barker
OPSWAT首席信息安全官兼首席运营官
