隨著業(yè)務流程變得越來越復雜,公司開始依賴第三方來提升其提供關(guān)鍵服務的能力,從云存儲到數(shù)據(jù)管理再到安全保障。雖然這樣做通常更高效且成本更低,但使用第三方服務也可能帶來重大——且往往是意想不到的——風險。
第三方可能成為入侵的門戶,如果服務出現(xiàn)故障,還可能損害公司的聲譽,暴露其在財務和法規(guī)方面的問題,并吸引來自全球的不良行為者的注意。與供應商管理不善的分手也可能危險,導致失去對第三方所建立的系統(tǒng)的訪問權(quán)限、失去數(shù)據(jù)的保管權(quán)或數(shù)據(jù)本身的丟失。
什么是第三方風險管理?
第三方風險管理(TPRM)是一種風險管理學科,涉及識別、評估和減輕使用外部方(如合作伙伴、供應商、承包商和服務提供商)相關(guān)的風險,這些第三方通常可以訪問企業(yè)的各種系統(tǒng)和數(shù)據(jù),且常常作為企業(yè)關(guān)鍵業(yè)務操作的重要參與者。因此,第三方可能會增加你的網(wǎng)絡風險,因為他們可能遇到的任何安全問題都會對你的企業(yè)產(chǎn)生連鎖效應。
第三方風險管理也常被稱為供應商風險管理,提供了一個框架來識別所有能夠訪問企業(yè)系統(tǒng)、數(shù)據(jù)和設(shè)施的第三方,它還確保你的企業(yè)根據(jù)每個第三方可以訪問的內(nèi)容、其安全實踐以及其可能面臨的威脅來評估與之相關(guān)的風險。
為了減輕第三方風險,企業(yè)必須與其依賴的第三方合作,進行其安全實踐的評估和審計,還必須建立明確的合同協(xié)議,明確所有相關(guān)方的安全期望和責任。成功的第三方風險管理還需要持續(xù)的監(jiān)控和監(jiān)督,以確保第三方遵守已商定的措施,并制定事件響應和補救策略,以應對任何問題。
為什么第三方風險管理很重要?
對第三方服務的依賴正在增加,因此,企業(yè)發(fā)現(xiàn)自己越來越容易受到合作伙伴實體帶來的潛在安全問題的影響。
“企業(yè)越來越依賴第三方,如技術(shù)和云供應商,這些供應商存儲敏感數(shù)據(jù)或訪問關(guān)鍵系統(tǒng),”Gartner分析師Luke Ellery表示,“如果第三方的網(wǎng)絡安全控制較差,這種風險會更高,還有風險是第三方自己的供應商被妥協(xié),如果數(shù)據(jù)或系統(tǒng)被妥協(xié),可能導致品牌和聲譽損害、法律和監(jiān)管罰款或處罰以及補救成本。”
使用第三方對于許多企業(yè)來說是廣泛接受的必要舉措,技術(shù)研究和咨詢公司ISG的高級總監(jiān)Hanne McBlain表示,但這些第三方需要進行持續(xù)管理。第三方合作伴隨著固有的業(yè)務風險,因為這將控制權(quán)的一部分移出了公司的墻外。Deltek的首席信息安全官Caleb Merriman表示,考慮到98%的全球企業(yè)在過去兩年中至少與一個曾遭遇過數(shù)據(jù)泄露的第三方供應商有聯(lián)系,這一問題顯得尤為緊迫。Deltek是一家為項目型企業(yè)提供軟件的供應商。
主要的第三方網(wǎng)絡安全風險
以下是第三方服務暴露給你的五大主要網(wǎng)絡安全風險:
因網(wǎng)絡攻擊導致的客戶和公司數(shù)據(jù)泄露
根據(jù)世界經(jīng)濟論壇的《2022年全球網(wǎng)絡安全前景》,通過第三方進行的間接網(wǎng)絡攻擊——即通過第三方成功入侵公司——在過去幾年中從44%增加到61%。IT和安全咨詢公司InferSight的首席信息安全官Peter Tran表示,這種情況發(fā)生的原因之一是許多公司沒有適當?shù)目刂拼胧﹣碛行У匦遁d第三方供應商。他說:“他們沒有相應的流程來控制這些賬戶的訪問管理權(quán)和配置,這為尋找仍然活躍的舊賬戶的網(wǎng)絡攻擊者留下了機會。”
從第三方數(shù)據(jù)泄露中獲取的數(shù)據(jù)可能被威脅行為者濫用,進行各種惡意活動,包括身份盜竊、欺詐、賬戶濫用和外部賬戶接管攻擊,MassMutual的首席信息安全官Ariel Weintraub表示。威脅行為者經(jīng)常使用從第三方甚至第四方泄露中獲取的受損憑證和數(shù)據(jù),來訪問其他受害者的環(huán)境。
“第三方可能在托管公司的數(shù)據(jù)時受到攻擊,或者攻擊者首先攻擊第三方,然后利用這一點來進入你的IT系統(tǒng),”MorganFranklin的網(wǎng)絡安全分析師Michael Orozco表示。他說,供應商生命周期內(nèi)的盡職調(diào)查和持續(xù)監(jiān)控漏洞將有助于降低這一風險。
實施深度防御策略以限制第三方訪問企業(yè)網(wǎng)絡對于防止對手獲取權(quán)限升級至關(guān)重要,Weintraub說。因此,公司必須在允許第三方訪問其系統(tǒng)之前,全面審查所有第三方供應商,以確保他們已實施適當?shù)陌踩珔f(xié)議。“第三方總是涉及到我們的數(shù)據(jù),這就是為什么我們不斷評估新的和現(xiàn)有的第三方,以與公司的網(wǎng)絡風險相稱的方式進行評估。”
事件成本和業(yè)務損失帶來的財務風險
Managed services公司GreenPages的首席信息安全官和首席信息官Jay Pasteris表示,入侵的成本可能非常高昂,如果公司沒有以正確的方式保護其系統(tǒng),網(wǎng)絡安全保險并不總是涵蓋數(shù)據(jù)泄露。
“財務影響不僅是你的損失,你還會對企業(yè)的聲譽造成損害,”他說,“你會失去客戶,你會失去新客戶的信任,你失去了現(xiàn)有客戶的信任,因此,你失去了收入來源……而替換現(xiàn)有客戶需要花費大量金錢,所以這種財務影響會迅速累積。”
聲譽損害、客戶信任喪失
雖然數(shù)據(jù)泄露可能并未發(fā)生在公司的四墻之內(nèi),但如果第三方服務涉及到客戶公司的數(shù)據(jù)或其客戶的數(shù)據(jù)泄露,該公司可能需要發(fā)表聲明或通知相關(guān)人員。Weintraub表示:“由于這種下游影響,聲譽影響可能遠遠超過財務損失。”
服務提供商的數(shù)據(jù)泄露帶來的負面宣傳可能損害公司的良好名聲或地位,而公眾對企業(yè)的不良看法可能始于第三方供應商名單中的問題。Orozco說,客戶對第三方提供的服務的投訴是潛在問題的良好指示。“客戶看不到你的組裝、產(chǎn)品、服務以及與你互動的能力是由第三方支持的,”他說,“他們只看到你的名字、你的品牌以及你無法滿足對他們的承諾。”
許多企業(yè)采取主動措施,以確保其第三方是有效的數(shù)據(jù)保管者,然而,當?shù)谌綆в凶约旱墓替湑r,事情就變得更加復雜,Weintraub表示。“隨著你繼續(xù)深入到你的供應商和你供應商的供應商,了解所有這些實體及其保護敏感數(shù)據(jù)的第三方風險計劃的成熟度可能會變得困難。”
地緣政治風險
McBlain表示,烏克蘭戰(zhàn)爭凸顯了企業(yè)密切關(guān)注政治動態(tài)并準備在動蕩局勢中采取行動的必要性。企業(yè)需要確保所有在受制裁司法管轄區(qū)的供應商、合作伙伴和合資企業(yè)活動已停止。
“然而,烏克蘭戰(zhàn)爭以及對俄羅斯和白俄羅斯的相關(guān)制裁并不是唯一需要考慮的地緣政治風險,”她說,“在政權(quán)不穩(wěn)定國家有業(yè)務的供應商,例如經(jīng)歷軍事政變、暴力起義和系統(tǒng)性壓迫少數(shù)族裔的國家,需要仔細和持續(xù)的監(jiān)控。”
政治動蕩通常伴隨著國家級網(wǎng)絡間諜活動的增加,企業(yè)需要確保其第三方供應商對其承包商進行徹底審查,確認其是否與從事此類行為的政府有聯(lián)系,Weintraub表示。“第三方可能在不知情的情況下雇用由國家派遣的自由職業(yè)IT遠程工作者,這些人可能是為該國專制政權(quán)創(chuàng)收或獲取公司網(wǎng)絡訪問權(quán),”她說,“雖然他們在工作時可能不從事任何惡意網(wǎng)絡活動,但他們可能利用其特權(quán)訪問權(quán)限,從內(nèi)部推動惡意網(wǎng)絡入侵。這使得惡意活動的檢測變得困難。”
法規(guī)遵從性風險
當?shù)谌焦踢`反政府法律、行業(yè)法規(guī)或公司內(nèi)部流程時,也會使企業(yè)面臨合規(guī)性風險,供應商的不合規(guī)行為可能會使雇用他們的公司面臨巨額罰款。
例如,企業(yè)需要檢查其第三方供應商是否符合SOC2審計標準,SOC2旨在確保第三方保護其客戶的敏感數(shù)據(jù)不被未經(jīng)授權(quán)訪問。企業(yè)還必須確保第三方遵守隱私和安全法律,如歐盟的《通用數(shù)據(jù)保護條例》(GDPR)和加州的《隱私權(quán)法案》(CPRA)要求,他說。
“合規(guī)是一個巨大的風險,”Pasteris表示,“你可能已經(jīng)符合合規(guī)要求并且有必要的控制措施,但突然之間你增加了這些第三方,如果你沒有評估他們是否有控制措施,你可能會違反你的合規(guī)立場。”
