隨著業務流程變得越來越復雜，公司開始依賴第三方來提升其提供關鍵服務的能力，從云存儲到數據管理再到安全保障。雖然這樣做通常更高效且成本更低，但使用第三方服務也可能帶來重大——且往往是意想不到的——風險。

　　第三方可能成為入侵的門戶，如果服務出現故障，還可能損害公司的聲譽，暴露其在財務和法規方面的問題，并吸引來自全球的不良行為者的注意。與供應商管理不善的分手也可能危險，導致失去對第三方所建立的系統的訪問權限、失去數據的保管權或數據本身的丟失。

　　什么是第三方風險管理？

　　第三方風險管理(TPRM)是一種風險管理學科，涉及識別、評估和減輕使用外部方(如合作伙伴、供應商、承包商和服務提供商)相關的風險，這些第三方通常可以訪問企業的各種系統和數據，且常常作為企業關鍵業務操作的重要參與者。因此，第三方可能會增加你的網絡風險，因為他們可能遇到的任何安全問題都會對你的企業產生連鎖效應。

　　第三方風險管理也常被稱為供應商風險管理，提供了一個框架來識別所有能夠訪問企業系統、數據和設施的第三方，它還確保你的企業根據每個第三方可以訪問的內容、其安全實踐以及其可能面臨的威脅來評估與之相關的風險。

　　為了減輕第三方風險，企業必須與其依賴的第三方合作，進行其安全實踐的評估和審計，還必須建立明確的合同協議，明確所有相關方的安全期望和責任。成功的第三方風險管理還需要持續的監控和監督，以確保第三方遵守已商定的措施，并制定事件響應和補救策略，以應對任何問題。

　　為什么第三方風險管理很重要？

　　對第三方服務的依賴正在增加，因此，企業發現自己越來越容易受到合作伙伴實體帶來的潛在安全問題的影響。

　　“企業越來越依賴第三方，如技術和云供應商，這些供應商存儲敏感數據或訪問關鍵系統，”Gartner分析師Luke Ellery表示，“如果第三方的網絡安全控制較差，這種風險會更高，還有風險是第三方自己的供應商被妥協，如果數據或系統被妥協，可能導致品牌和聲譽損害、法律和監管罰款或處罰以及補救成本。”

　　使用第三方對于許多企業來說是廣泛接受的必要舉措，技術研究和咨詢公司ISG的高級總監Hanne McBlain表示，但這些第三方需要進行持續管理。第三方合作伴隨著固有的業務風險，因為這將控制權的一部分移出了公司的墻外。Deltek的首席信息安全官Caleb Merriman表示，考慮到98%的全球企業在過去兩年中至少與一個曾遭遇過數據泄露的第三方供應商有聯系，這一問題顯得尤為緊迫。Deltek是一家為項目型企業提供軟件的供應商。

　　主要的第三方網絡安全風險

　　以下是第三方服務暴露給你的五大主要網絡安全風險：

　　因網絡攻擊導致的客戶和公司數據泄露

　　根據世界經濟論壇的《2022年全球網絡安全前景》，通過第三方進行的間接網絡攻擊——即通過第三方成功入侵公司——在過去幾年中從44%增加到61%。IT和安全咨詢公司InferSight的首席信息安全官Peter Tran表示，這種情況發生的原因之一是許多公司沒有適當的控制措施來有效地卸載第三方供應商。他說：“他們沒有相應的流程來控制這些賬戶的訪問管理權和配置，這為尋找仍然活躍的舊賬戶的網絡攻擊者留下了機會。”

　　從第三方數據泄露中獲取的數據可能被威脅行為者濫用，進行各種惡意活動，包括身份盜竊、欺詐、賬戶濫用和外部賬戶接管攻擊，MassMutual的首席信息安全官Ariel Weintraub表示。威脅行為者經常使用從第三方甚至第四方泄露中獲取的受損憑證和數據，來訪問其他受害者的環境。

　　“第三方可能在托管公司的數據時受到攻擊，或者攻擊者首先攻擊第三方，然后利用這一點來進入你的IT系統，”MorganFranklin的網絡安全分析師Michael Orozco表示。他說，供應商生命周期內的盡職調查和持續監控漏洞將有助于降低這一風險。

　　實施深度防御策略以限制第三方訪問企業網絡對于防止對手獲取權限升級至關重要，Weintraub說。因此，公司必須在允許第三方訪問其系統之前，全面審查所有第三方供應商，以確保他們已實施適當的安全協議。“第三方總是涉及到我們的數據，這就是為什么我們不斷評估新的和現有的第三方，以與公司的網絡風險相稱的方式進行評估。”

　　事件成本和業務損失帶來的財務風險

　　Managed services公司GreenPages的首席信息安全官和首席信息官Jay Pasteris表示，入侵的成本可能非常高昂，如果公司沒有以正確的方式保護其系統，網絡安全保險并不總是涵蓋數據泄露。

　　“財務影響不僅是你的損失，你還會對企業的聲譽造成損害，”他說，“你會失去客戶，你會失去新客戶的信任，你失去了現有客戶的信任，因此，你失去了收入來源……而替換現有客戶需要花費大量金錢，所以這種財務影響會迅速累積。”

　　聲譽損害、客戶信任喪失

　　雖然數據泄露可能并未發生在公司的四墻之內，但如果第三方服務涉及到客戶公司的數據或其客戶的數據泄露，該公司可能需要發表聲明或通知相關人員。Weintraub表示：“由于這種下游影響，聲譽影響可能遠遠超過財務損失。”

　　服務提供商的數據泄露帶來的負面宣傳可能損害公司的良好名聲或地位，而公眾對企業的不良看法可能始于第三方供應商名單中的問題。Orozco說，客戶對第三方提供的服務的投訴是潛在問題的良好指示。“客戶看不到你的組裝、產品、服務以及與你互動的能力是由第三方支持的，”他說，“他們只看到你的名字、你的品牌以及你無法滿足對他們的承諾。”

　　許多企業采取主動措施，以確保其第三方是有效的數據保管者，然而，當第三方帶有自己的供應商鏈時，事情就變得更加復雜，Weintraub表示。“隨著你繼續深入到你的供應商和你供應商的供應商，了解所有這些實體及其保護敏感數據的第三方風險計劃的成熟度可能會變得困難。”

　　地緣政治風險

　　McBlain表示，烏克蘭戰爭凸顯了企業密切關注政治動態并準備在動蕩局勢中采取行動的必要性。企業需要確保所有在受制裁司法管轄區的供應商、合作伙伴和合資企業活動已停止。

　　“然而，烏克蘭戰爭以及對俄羅斯和白俄羅斯的相關制裁并不是唯一需要考慮的地緣政治風險，”她說，“在政權不穩定國家有業務的供應商，例如經歷軍事政變、暴力起義和系統性壓迫少數族裔的國家，需要仔細和持續的監控。”

　　政治動蕩通常伴隨著國家級網絡間諜活動的增加，企業需要確保其第三方供應商對其承包商進行徹底審查，確認其是否與從事此類行為的政府有聯系，Weintraub表示。“第三方可能在不知情的情況下雇用由國家派遣的自由職業IT遠程工作者，這些人可能是為該國專制政權創收或獲取公司網絡訪問權，”她說，“雖然他們在工作時可能不從事任何惡意網絡活動，但他們可能利用其特權訪問權限，從內部推動惡意網絡入侵。這使得惡意活動的檢測變得困難。”

　　法規遵從性風險

　　當第三方供應商違反政府法律、行業法規或公司內部流程時，也會使企業面臨合規性風險，供應商的不合規行為可能會使雇用他們的公司面臨巨額罰款。

　　例如，企業需要檢查其第三方供應商是否符合SOC2審計標準，SOC2旨在確保第三方保護其客戶的敏感數據不被未經授權訪問。企業還必須確保第三方遵守隱私和安全法律，如歐盟的《通用數據保護條例》(GDPR)和加州的《隱私權法案》(CPRA)要求，他說。

　　“合規是一個巨大的風險，”Pasteris表示，“你可能已經符合合規要求并且有必要的控制措施，但突然之間你增加了這些第三方，如果你沒有評估他們是否有控制措施，你可能會違反你的合規立場。”