奥运会网球比分规则|雪缘网网球比分直播|
欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

第三方网络风险管理:想要成效不容易

来源:本站整理 作者:佚名 时间:2019-04-15 TAG: 我要投稿

如今,大量企业都需要第三方机构的支持才能保证业务正常运营。HR系统、财务系统、法务系统、企业IT设施与软件等都需要依靠一些第三方平台或软件来处理工作。但是,这些合作在带来便利的同时也带来了风险与挑战。有报告显示,56%的企业数据泄露 都源自第三方供应商;42%的企业都因为第三方供应商遭遇攻击而出现数据泄露。前不久,FaceBook还因为第三方数据泄露而再次成为众矢之的。因此,为了保护企业数据安全,企业不仅要抵御自身所面临的内外部安全威胁,还要进行第三方风险管理(TPCRM)。 
第三方风险
一般来说,第三方包括企业直接合作的公司,如数据管理公司、律师事务所、电子邮件提供商,网络托管公司,子公司,供应商,分包商等等,只要可以访问企业系统或数据的任何员工或企业都算第三方。但是,第三方网络风险并不仅限于这些公司或员工,企业业务涉及的软件、硬件也都会带来网络风险。钓鱼、被入侵的软件、云存储和IoT设备、水坑攻击、收购并购导致的架构调整等都是常见的第三方风险。

但是,调查显示,目前第三方风险管理大多成效不好,有一些挑战和需要改进的地方。
第三方风险管理耗费大量人力和财力
Ponemon Institute与CyberGRX联合发布的《第三方网络风险管理成本》报告,揭露了第三方风险管理的现状与成本。报告的调查对象包括600多名IT安全专家,这些专?#20381;?#33258;多个不同领域,且直接参与所在企业组织的TPCRM项目管理。他们反馈的都是TPCRM相关的一线信息。
第三方安全风险调查与评估现状
第三方机构多如潮涌,每年需要花费超过15000个小时去进行评估;
企业没有洞察力,54%的机构认为评估结果价值有限;
评估之后,能投入?#23548;?#30340;不到8%;
一旦不成功,成本会很高(70%的机构认为第三方风险管理一旦失败,成本会达到1300万美元;这些成本包括对声誉和品牌的影响、股价下跌、丢生意等)。
报告发现,现阶段第三方风险管理存在的问题主要有:
1. 目前支撑TPCRM、评估第三方机构的实例和技术较为稀?#20445;?#19988;成本较高、效果不好;
2. 使用更好的调查和评估工具能提升TPCRM的效率并降低维护项目的成本;
3. ?#36816;?#26377;第三方使用相同的方法也可能增加成本;最好是花一些事件确认第三方的优先级并针对不同的机构采取不同的方法,这有利于长远发展,降低成本并提高效率;
4. 企业内的TPCRM预算控?#24179;?#20026;分散,会因为利益竞争而造成资源低效分布;
CyberGRX认为,目前的TPCRM?#23548;?#19981;仅耗费资源,而且实现的效果有限。超过53%的受访者在近两年内都遭遇过第三方数据泄露,承受的平均损失高达750万美元。但是,目前市场上还没有出现管理第三方网络风险的有效方法。企业组织在应对第三方风险?#20445;?#22823;多是仍采取电子表(40%)、风险扫描工具(51%)等传统方式评估与其合作的第三方风险。80%的受访者认为调查并评估第三方?#23548;?#24773;况很重要;但60%的受访者认为现行的调查和评估方法没有用。就算评估发现了第三方的安全风险,企业组织也不会积极地采取措施去?#33322;?#39118;险。只有24%的受访者认为其企业组织能与第三方机构合作并提升安全策略。
其中, 第三方评估所花费的时间各不相同;相关企业组织的行动力不足、所体现的价值也不够。总体来看,企业组织及第三方机构将人力与财务资源浪费在无法减少网络风险的项目中,并不利于整个生态的良好发展。
EMA的高级分析师 David Monahan认为:
目前,第三方网络风险管理?#23548;?#24773;况并不乐观。管理方式大多为手动实施,缺少规模化、体系化。而且,大量项目都需要有质量的信息支撑,但这些信息又很难有效获取。因此,第三方风险管理耗费了大量人力资源,而?#19968;?#21507;力不讨好。现阶段迫切需要更体系化、规模化的评估方法,来解放?#25237;?#21147;、减少成本。
第三方风险管理要考虑的关键事项
1. 风险往往?#26377;?#24320;始
如果第三方规模较小,安全性?#31995;停?#37027;往往会成为攻击者的目标。他们会以这些第三方为切入点,获取高价值企业的访问权限并实现更大规模的攻击。使用恶意软件窃取分包商的凭证,并利用凭证访问目标企业的供应商专用Web服务,然后进一步渗透。这是常见的通过第三方入侵企业的例子。
2. 风险可能来自供应商之外的?#26041;?br/> 第三方风险的范围不局限于第三方本身,还涉及第三方的关系网。有时候,企业的第三方本身也有其他第三方供应商(也就是“第四方”或“第三方二号”)。因此,企业组织还必须清楚地了解自己的第一供应商如何管理“第四方”。如果第三方来自海外,还需要考虑到不同的法律和道?#30053;?#26463;。此外,随着大量企业?#26174;疲?#30001;第三方管理的不安全云存储数据库也是数据泄露的常见原因。
3. 在客户眼中,企业本身是主要责任方
对于客户而言,企业的第三方关系复杂,很难理清具体的网络风险范围。即使安全风险是因为第三方造成的,客户?#19981;?#35748;为是企业自身的责任。这也是相关法律中考虑的因素。企业很难证明自己已经通过充分的尽职调查等方式来管理其第三方风险,而且即使第三方处理了数据,在必要情况下企业也可能会被追究责任。一般判断是:如果一家公司在内部采取一切预防措施,但未能使用网络风险评估调查?#31034;?#31561;工具审查第三方的安全性,那?#27492;?#21487;能根本没有采取任何预防措施。
4. 数据生命周期的任何阶段都可能存在风险
企业以前的第三方关系也可能会给组织带来风险。例如,美国公司TigerSwan与其招聘供应商“TalentPen”在2017年2月就终止了合作,但2017年9月,因为TalentPen在AWS S3存储平台设置不?#20445;?#20381;然泄露了“TigerSwan”相关的数千份简历。因此,企业与第三方开展业务?#20445;?#19981;仅要了解数据的敏感程度和重要程度,还要了解第三方存储数据的方式。同?#20445;?#36824;要考虑到在合作结束时如何处理第三方所掌握的那些数据。
5. 传统的网络安全防护?#23545;?#19981;够
传统的信息安全防护

[1] [2]  下一页

【声明】:黑吧安全网(http://www.nddver.tw)?#31363;?#27492;文出于传递更多信息之目的,并不代表本站赞同其观点?#25237;云?#30495;实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱[email protected],我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载
        奥运会网球比分规则