当今的网络安全环境需要敏捷和数据驱动的风险管理策略来应对不断扩大的第三方攻击面。
当企业通过共享数据和网络访问将服务外包时,它会从供应商的人员、流程、技术和供应商的第三方那里继承网络风险。典型的企业平均与近 5,900 家第三方合作,这意味着企业面临着巨大的风险,无论他们如何覆盖自己的基地。
例如,根据 Black Kite 的一份报告,在 2021 年全年,81 起单独的第三方事件导致 200 多起公开披露的违规行为和数千起连锁反应的违规行为。
目前管理第三方风险的由外而内的方法是不够的。相反,该行业需要通过发起超越外部评估的对话,转向新的第三方风险管理方法。具体而言,企业应为所有供应商建立零信任原则,通过由内而外的评估来评估外部和内部资产的风险,并实时衡量网络风险。
“从不信任,始终验证”的零信任原则已被广泛用于管理内部环境,组织应将此概念扩展到第三方风险管理。
为了解决这个问题,企业需要将供应商视为其业务的子集。
迫在眉睫的威胁
一家企业与其供应商共享的数据量和业务关键信息量是惊人的。例如,一家公司可能与制造合作伙伴共享知识产权,将个人健康信息 (PHI) 存储在云服务器上以与保险公司共享,并允许营销机构访问客户数据和个人身份信息 (PII)。
这只是冰山一角,大多数企业往往不知道冰山到底有多大。在 Ponemon Institute 进行的一项调查中, 51% 的受访公司表示,在允许第三方访问机密信息之前,他们不会评估第三方的网络风险状况。更重要的是,63% 的受访公司表示,他们不了解供应商可以访问哪些数据和系统配置、他们为什么可以访问、谁拥有权限以及数据是如何存储和共享的。
这种实时共享信息的庞大企业网络导致了巨大的攻击面,变得越来越难以管理。为了克服这一挑战,企业在其第三方风险管理策略中使用网络安全举措,例如基于问卷的入职调查和安全评级服务。
虽然这些工具有明确的用例,但它们也有严重的局限性。
网络安全评级服务是一种快速且经济的第三方风险评估方法。它们的简单性——将供应商的网络风险作为一个分数来表示,就像金融服务中的信用评级一样——使它们成为一种受欢迎的选择,尽管有局限性。