隨著業(yè)務(wù)流程變得越來越復(fù)雜，公司開始依賴第三方來提升其提供關(guān)鍵服務(wù)的能力，從云存儲到數(shù)據(jù)管理再到安全保障。雖然這樣做通常更高效且成本更低，但使用第三方服務(wù)也可能帶來重大——且往往是意想不到的——風(fēng)險。

　　第三方可能成為入侵的門戶，如果服務(wù)出現(xiàn)故障，還可能損害公司的聲譽，暴露其在財務(wù)和法規(guī)方面的問題，并吸引來自全球的不良行為者的注意。與供應(yīng)商管理不善的分手也可能危險，導(dǎo)致失去對第三方所建立的系統(tǒng)的訪問權(quán)限、失去數(shù)據(jù)的保管權(quán)或數(shù)據(jù)本身的丟失。

　　什么是第三方風(fēng)險管理？

　　第三方風(fēng)險管理(TPRM)是一種風(fēng)險管理學(xué)科，涉及識別、評估和減輕使用外部方(如合作伙伴、供應(yīng)商、承包商和服務(wù)提供商)相關(guān)的風(fēng)險，這些第三方通常可以訪問企業(yè)的各種系統(tǒng)和數(shù)據(jù)，且常常作為企業(yè)關(guān)鍵業(yè)務(wù)操作的重要參與者。因此，第三方可能會增加你的網(wǎng)絡(luò)風(fēng)險，因為他們可能遇到的任何安全問題都會對你的企業(yè)產(chǎn)生連鎖效應(yīng)。

　　第三方風(fēng)險管理也常被稱為供應(yīng)商風(fēng)險管理，提供了一個框架來識別所有能夠訪問企業(yè)系統(tǒng)、數(shù)據(jù)和設(shè)施的第三方，它還確保你的企業(yè)根據(jù)每個第三方可以訪問的內(nèi)容、其安全實踐以及其可能面臨的威脅來評估與之相關(guān)的風(fēng)險。

　　為了減輕第三方風(fēng)險，企業(yè)必須與其依賴的第三方合作，進行其安全實踐的評估和審計，還必須建立明確的合同協(xié)議，明確所有相關(guān)方的安全期望和責(zé)任。成功的第三方風(fēng)險管理還需要持續(xù)的監(jiān)控和監(jiān)督，以確保第三方遵守已商定的措施，并制定事件響應(yīng)和補救策略，以應(yīng)對任何問題。

　　為什么第三方風(fēng)險管理很重要？

　　對第三方服務(wù)的依賴正在增加，因此，企業(yè)發(fā)現(xiàn)自己越來越容易受到合作伙伴實體帶來的潛在安全問題的影響。

　　“企業(yè)越來越依賴第三方，如技術(shù)和云供應(yīng)商，這些供應(yīng)商存儲敏感數(shù)據(jù)或訪問關(guān)鍵系統(tǒng)，”Gartner分析師Luke Ellery表示，“如果第三方的網(wǎng)絡(luò)安全控制較差，這種風(fēng)險會更高，還有風(fēng)險是第三方自己的供應(yīng)商被妥協(xié)，如果數(shù)據(jù)或系統(tǒng)被妥協(xié)，可能導(dǎo)致品牌和聲譽損害、法律和監(jiān)管罰款或處罰以及補救成本。”

　　使用第三方對于許多企業(yè)來說是廣泛接受的必要舉措，技術(shù)研究和咨詢公司ISG的高級總監(jiān)Hanne McBlain表示，但這些第三方需要進行持續(xù)管理。第三方合作伴隨著固有的業(yè)務(wù)風(fēng)險，因為這將控制權(quán)的一部分移出了公司的墻外。Deltek的首席信息安全官Caleb Merriman表示，考慮到98%的全球企業(yè)在過去兩年中至少與一個曾遭遇過數(shù)據(jù)泄露的第三方供應(yīng)商有聯(lián)系，這一問題顯得尤為緊迫。Deltek是一家為項目型企業(yè)提供軟件的供應(yīng)商。

　　主要的第三方網(wǎng)絡(luò)安全風(fēng)險

　　以下是第三方服務(wù)暴露給你的五大主要網(wǎng)絡(luò)安全風(fēng)險：

　　因網(wǎng)絡(luò)攻擊導(dǎo)致的客戶和公司數(shù)據(jù)泄露

　　根據(jù)世界經(jīng)濟論壇的《2022年全球網(wǎng)絡(luò)安全前景》，通過第三方進行的間接網(wǎng)絡(luò)攻擊——即通過第三方成功入侵公司——在過去幾年中從44%增加到61%。IT和安全咨詢公司InferSight的首席信息安全官Peter Tran表示，這種情況發(fā)生的原因之一是許多公司沒有適當(dāng)?shù)目刂拼胧﹣碛行У匦遁d第三方供應(yīng)商。他說：“他們沒有相應(yīng)的流程來控制這些賬戶的訪問管理權(quán)和配置，這為尋找仍然活躍的舊賬戶的網(wǎng)絡(luò)攻擊者留下了機會。”

　　從第三方數(shù)據(jù)泄露中獲取的數(shù)據(jù)可能被威脅行為者濫用，進行各種惡意活動，包括身份盜竊、欺詐、賬戶濫用和外部賬戶接管攻擊，MassMutual的首席信息安全官Ariel Weintraub表示。威脅行為者經(jīng)常使用從第三方甚至第四方泄露中獲取的受損憑證和數(shù)據(jù)，來訪問其他受害者的環(huán)境。

　　“第三方可能在托管公司的數(shù)據(jù)時受到攻擊，或者攻擊者首先攻擊第三方，然后利用這一點來進入你的IT系統(tǒng)，”MorganFranklin的網(wǎng)絡(luò)安全分析師Michael Orozco表示。他說，供應(yīng)商生命周期內(nèi)的盡職調(diào)查和持續(xù)監(jiān)控漏洞將有助于降低這一風(fēng)險。

　　實施深度防御策略以限制第三方訪問企業(yè)網(wǎng)絡(luò)對于防止對手獲取權(quán)限升級至關(guān)重要，Weintraub說。因此，公司必須在允許第三方訪問其系統(tǒng)之前，全面審查所有第三方供應(yīng)商，以確保他們已實施適當(dāng)?shù)陌踩珔f(xié)議。“第三方總是涉及到我們的數(shù)據(jù)，這就是為什么我們不斷評估新的和現(xiàn)有的第三方，以與公司的網(wǎng)絡(luò)風(fēng)險相稱的方式進行評估。”

　　事件成本和業(yè)務(wù)損失帶來的財務(wù)風(fēng)險

　　Managed services公司GreenPages的首席信息安全官和首席信息官Jay Pasteris表示，入侵的成本可能非常高昂，如果公司沒有以正確的方式保護其系統(tǒng)，網(wǎng)絡(luò)安全保險并不總是涵蓋數(shù)據(jù)泄露。

　　“財務(wù)影響不僅是你的損失，你還會對企業(yè)的聲譽造成損害，”他說，“你會失去客戶，你會失去新客戶的信任，你失去了現(xiàn)有客戶的信任，因此，你失去了收入來源……而替換現(xiàn)有客戶需要花費大量金錢，所以這種財務(wù)影響會迅速累積。”

　　聲譽損害、客戶信任喪失

　　雖然數(shù)據(jù)泄露可能并未發(fā)生在公司的四墻之內(nèi)，但如果第三方服務(wù)涉及到客戶公司的數(shù)據(jù)或其客戶的數(shù)據(jù)泄露，該公司可能需要發(fā)表聲明或通知相關(guān)人員。Weintraub表示：“由于這種下游影響，聲譽影響可能遠遠超過財務(wù)損失。”

　　服務(wù)提供商的數(shù)據(jù)泄露帶來的負(fù)面宣傳可能損害公司的良好名聲或地位，而公眾對企業(yè)的不良看法可能始于第三方供應(yīng)商名單中的問題。Orozco說，客戶對第三方提供的服務(wù)的投訴是潛在問題的良好指示。“客戶看不到你的組裝、產(chǎn)品、服務(wù)以及與你互動的能力是由第三方支持的，”他說，“他們只看到你的名字、你的品牌以及你無法滿足對他們的承諾。”

　　許多企業(yè)采取主動措施，以確保其第三方是有效的數(shù)據(jù)保管者，然而，當(dāng)?shù)谌綆в凶约旱墓?yīng)商鏈時，事情就變得更加復(fù)雜，Weintraub表示。“隨著你繼續(xù)深入到你的供應(yīng)商和你供應(yīng)商的供應(yīng)商，了解所有這些實體及其保護敏感數(shù)據(jù)的第三方風(fēng)險計劃的成熟度可能會變得困難。”

　　地緣政治風(fēng)險

　　McBlain表示，烏克蘭戰(zhàn)爭凸顯了企業(yè)密切關(guān)注政治動態(tài)并準(zhǔn)備在動蕩局勢中采取行動的必要性。企業(yè)需要確保所有在受制裁司法管轄區(qū)的供應(yīng)商、合作伙伴和合資企業(yè)活動已停止。

　　“然而，烏克蘭戰(zhàn)爭以及對俄羅斯和白俄羅斯的相關(guān)制裁并不是唯一需要考慮的地緣政治風(fēng)險，”她說，“在政權(quán)不穩(wěn)定國家有業(yè)務(wù)的供應(yīng)商，例如經(jīng)歷軍事政變、暴力起義和系統(tǒng)性壓迫少數(shù)族裔的國家，需要仔細(xì)和持續(xù)的監(jiān)控。”

　　政治動蕩通常伴隨著國家級網(wǎng)絡(luò)間諜活動的增加，企業(yè)需要確保其第三方供應(yīng)商對其承包商進行徹底審查，確認(rèn)其是否與從事此類行為的政府有聯(lián)系，Weintraub表示。“第三方可能在不知情的情況下雇用由國家派遣的自由職業(yè)IT遠程工作者，這些人可能是為該國專制政權(quán)創(chuàng)收或獲取公司網(wǎng)絡(luò)訪問權(quán)，”她說，“雖然他們在工作時可能不從事任何惡意網(wǎng)絡(luò)活動，但他們可能利用其特權(quán)訪問權(quán)限，從內(nèi)部推動惡意網(wǎng)絡(luò)入侵。這使得惡意活動的檢測變得困難。”

　　法規(guī)遵從性風(fēng)險

　　當(dāng)?shù)谌焦?yīng)商違反政府法律、行業(yè)法規(guī)或公司內(nèi)部流程時，也會使企業(yè)面臨合規(guī)性風(fēng)險，供應(yīng)商的不合規(guī)行為可能會使雇用他們的公司面臨巨額罰款。

　　例如，企業(yè)需要檢查其第三方供應(yīng)商是否符合SOC2審計標(biāo)準(zhǔn)，SOC2旨在確保第三方保護其客戶的敏感數(shù)據(jù)不被未經(jīng)授權(quán)訪問。企業(yè)還必須確保第三方遵守隱私和安全法律，如歐盟的《通用數(shù)據(jù)保護條例》(GDPR)和加州的《隱私權(quán)法案》(CPRA)要求，他說。

　　“合規(guī)是一個巨大的風(fēng)險，”Pasteris表示，“你可能已經(jīng)符合合規(guī)要求并且有必要的控制措施，但突然之間你增加了這些第三方，如果你沒有評估他們是否有控制措施，你可能會違反你的合規(guī)立場。”