奥运会网球比分规则|雪缘网网球比分直播|
歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

第三方網絡風險管理:想要成效不容易

來源:本站整理 作者:佚名 時間:2019-04-15 TAG: 我要投稿

如今,大量企業都需要第三方機構的支持才能保證業務正常運營。HR系統、財務系統、法務系統、企業IT設施與軟件等都需要依靠一些第三方平臺或軟件來處理工作。但是,這些合作在帶來便利的同時也帶來了風險與挑戰。有報告顯示,56%的企業數據泄露 都源自第三方供應商;42%的企業都因為第三方供應商遭遇攻擊而出現數據泄露。前不久,FaceBook還因為第三方數據泄露而再次成為眾矢之的。因此,為了保護企業數據安全,企業不僅要抵御自身所面臨的內外部安全威脅,還要進行第三方風險管理(TPCRM)。 
第三方風險
一般來說,第三方包括企業直接合作的公司,如數據管理公司、律師事務所、電子郵件提供商,網絡托管公司,子公司,供應商,分包商等等,只要可以訪問企業系統或數據的任何員工或企業都算第三方。但是,第三方網絡風險并不僅限于這些公司或員工,企業業務涉及的軟件、硬件也都會帶來網絡風險。釣魚、被入侵的軟件、云存儲和IoT設備、水坑攻擊、收購并購導致的架構調整等都是常見的第三方風險。

但是,調查顯示,目前第三方風險管理大多成效不好,有一些挑戰和需要改進的地方。
第三方風險管理耗費大量人力和財力
Ponemon Institute與CyberGRX聯合發布的《第三方網絡風險管理成本》報告,揭露了第三方風險管理的現狀與成本。報告的調查對象包括600多名IT安全專家,這些專家來自多個不同領域,且直接參與所在企業組織的TPCRM項目管理。他們反饋的都是TPCRM相關的一線信息。
第三方安全風險調查與評估現狀
第三方機構多如潮涌,每年需要花費超過15000個小時去進行評估;
企業沒有洞察力,54%的機構認為評估結果價值有限;
評估之后,能投入實踐的不到8%;
一旦不成功,成本會很高(70%的機構認為第三方風險管理一旦失敗,成本會達到1300萬美元;這些成本包括對聲譽和品牌的影響、股價下跌、丟生意等)。
報告發現,現階段第三方風險管理存在的問題主要有:
1. 目前支撐TPCRM、評估第三方機構的實例和技術較為稀缺,且成本較高、效果不好;
2. 使用更好的調查和評估工具能提升TPCRM的效率并降低維護項目的成本;
3. 對所有第三方使用相同的方法也可能增加成本;最好是花一些事件確認第三方的優先級并針對不同的機構采取不同的方法,這有利于長遠發展,降低成本并提高效率;
4. 企業內的TPCRM預算控制較為分散,會因為利益競爭而造成資源低效分布;
CyberGRX認為,目前的TPCRM實踐不僅耗費資源,而且實現的效果有限。超過53%的受訪者在近兩年內都遭遇過第三方數據泄露,承受的平均損失高達750萬美元。但是,目前市場上還沒有出現管理第三方網絡風險的有效方法。企業組織在應對第三方風險時,大多是仍采取電子表(40%)、風險掃描工具(51%)等傳統方式評估與其合作的第三方風險。80%的受訪者認為調查并評估第三方實踐情況很重要;但60%的受訪者認為現行的調查和評估方法沒有用。就算評估發現了第三方的安全風險,企業組織也不會積極地采取措施去緩解風險。只有24%的受訪者認為其企業組織能與第三方機構合作并提升安全策略。
其中, 第三方評估所花費的時間各不相同;相關企業組織的行動力不足、所體現的價值也不夠。總體來看,企業組織及第三方機構將人力與財務資源浪費在無法減少網絡風險的項目中,并不利于整個生態的良好發展。
EMA的高級分析師 David Monahan認為:
目前,第三方網絡風險管理實踐情況并不樂觀。管理方式大多為手動實施,缺少規模化、體系化。而且,大量項目都需要有質量的信息支撐,但這些信息又很難有效獲取。因此,第三方風險管理耗費了大量人力資源,而且還吃力不討好。現階段迫切需要更體系化、規模化的評估方法,來解放勞動力、減少成本。
第三方風險管理要考慮的關鍵事項
1. 風險往往從小開始
如果第三方規模較小,安全性較低,那往往會成為攻擊者的目標。他們會以這些第三方為切入點,獲取高價值企業的訪問權限并實現更大規模的攻擊。使用惡意軟件竊取分包商的憑證,并利用憑證訪問目標企業的供應商專用Web服務,然后進一步滲透。這是常見的通過第三方入侵企業的例子。
2. 風險可能來自供應商之外的環節
第三方風險的范圍不局限于第三方本身,還涉及第三方的關系網。有時候,企業的第三方本身也有其他第三方供應商(也就是“第四方”或“第三方二號”)。因此,企業組織還必須清楚地了解自己的第一供應商如何管理“第四方”。如果第三方來自海外,還需要考慮到不同的法律和道德約束。此外,隨著大量企業上云,由第三方管理的不安全云存儲數據庫也是數據泄露的常見原因。
3. 在客戶眼中,企業本身是主要責任方
對于客戶而言,企業的第三方關系復雜,很難理清具體的網絡風險范圍。即使安全風險是因為第三方造成的,客戶也會認為是企業自身的責任。這也是相關法律中考慮的因素。企業很難證明自己已經通過充分的盡職調查等方式來管理其第三方風險,而且即使第三方處理了數據,在必要情況下企業也可能會被追究責任。一般判斷是:如果一家公司在內部采取一切預防措施,但未能使用網絡風險評估調查問卷等工具審查第三方的安全性,那么它可能根本沒有采取任何預防措施。
4. 數據生命周期的任何階段都可能存在風險
企業以前的第三方關系也可能會給組織帶來風險。例如,美國公司TigerSwan與其招聘供應商“TalentPen”在2017年2月就終止了合作,但2017年9月,因為TalentPen在AWS S3存儲平臺設置不當,依然泄露了“TigerSwan”相關的數千份簡歷。因此,企業與第三方開展業務時,不僅要了解數據的敏感程度和重要程度,還要了解第三方存儲數據的方式。同時,還要考慮到在合作結束時如何處理第三方所掌握的那些數據。
5. 傳統的網絡安全防護遠遠不夠
傳統的信息安全防護

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.nddver.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        奥运会网球比分规则
        两肖两码中特资料115开什么 竞彩比分直播球探 宁夏11选5中奖结果 竞彩篮球让分胜负推荐 千炮彩金捕鱼下载免费 体彩福建31选718215 彩票分析软件 球探比分网即时比分 同花顺模拟炒股 腾讯分分彩稳定玩法