當(dāng)前經(jīng)濟(jì)環(huán)境下，互聯(lián)網(wǎng)技術(shù)的發(fā)展和廣泛應(yīng)用使傳統(tǒng)商業(yè)模式產(chǎn)生顛覆性變革。在營銷拓展、生產(chǎn)制造、運(yùn)營服務(wù)、資源整合等方面都開啟了一種全新的經(jīng)營模式。企業(yè)數(shù)字化轉(zhuǎn)型過程中，數(shù)據(jù)成為了企業(yè)的燃料，除了要應(yīng)用好數(shù)據(jù)，還要對(duì)其進(jìn)行保護(hù)，客戶數(shù)據(jù)對(duì)黑產(chǎn)和競(jìng)爭(zhēng)對(duì)手的吸引力極高，并且監(jiān)管部門也對(duì)敏感數(shù)據(jù)/個(gè)人身份信息PII的保護(hù)越來越重視。

[[218708]]

從數(shù)據(jù)的流轉(zhuǎn)過程來看，一方面，數(shù)據(jù)在企業(yè)的內(nèi)部運(yùn)作時(shí)，信息系統(tǒng)、企業(yè)員工都可以接觸到敏感數(shù)據(jù);另一方面，數(shù)據(jù)也在外部流轉(zhuǎn)，更多供應(yīng)商和合伙伙伴也可以接觸到敏感數(shù)據(jù)。當(dāng)有人利用外部伙伴或供應(yīng)商竊取您的數(shù)據(jù)時(shí)，就會(huì)發(fā)生供應(yīng)鏈攻擊，這也是第三方威脅，這改變了數(shù)字化轉(zhuǎn)型之前傳統(tǒng)企業(yè)模式的攻擊面。并且數(shù)據(jù)在外部第三方合作伙伴或供應(yīng)商應(yīng)用過程中，企業(yè)是完全不可控的狀態(tài)，第三方是數(shù)字化轉(zhuǎn)型企業(yè)生態(tài)系統(tǒng)中最薄弱的環(huán)節(jié)。

第三方引起數(shù)據(jù)泄露事件和監(jiān)管要求

由于第三方供應(yīng)商導(dǎo)致的案例并不是少數(shù)，2013年零售巨頭塔吉特Target因第三方HVAC供應(yīng)商導(dǎo)致上億用戶信息泄漏，預(yù)計(jì)損失成本為2.92億美元;2014年美國最大的家庭裝飾品與建材零售商家得寶HomeDepot因黑客利用第三方供應(yīng)商的網(wǎng)絡(luò)入侵到網(wǎng)絡(luò)中去的，植入惡意程序?qū)е聰?shù)據(jù)泄露，預(yù)計(jì)損失成本為1.98億美元; 2017年7月，Verizon公司超過1400萬用戶個(gè)人資料因第三方供應(yīng)商N(yùn)ICE Systems云服務(wù)器安全配置不當(dāng)遭到外泄。

2017年，美國征信巨頭Equifax公司1.45億客戶記錄被泄，股票暴跌30%，包括CEO在內(nèi)的多名高管離職，并且影響到任何與Equifax有互動(dòng)的公司，Visa和MasterCard第一批出來聲明自家數(shù)據(jù)可能在Equifax事件中被盜的。

這些事件的發(fā)生也并不是個(gè)例，Ponemon Institute 的一項(xiàng)研究報(bào)告顯示，發(fā)生數(shù)據(jù)泄露的企業(yè)中56%是由他們的供應(yīng)商造成的，而客戶并不關(guān)心是因?yàn)楣?yīng)商而丟失數(shù)據(jù)還是企業(yè)自身的原因。

監(jiān)管部門對(duì)敏感數(shù)據(jù)或隱私的保護(hù)越來越關(guān)心，歐盟提出《一般數(shù)據(jù)保護(hù)法案》GDPR，適用于從歐洲收集個(gè)人信息的所有公司，罰款最高到全球總收入的4%。谷歌因GDPR合規(guī)問題被開出27.3億美元罰單。在我國，《中華人民共和國網(wǎng)絡(luò)安全法》自2017年6月1日起已經(jīng)實(shí)施，提出了個(gè)人信息保護(hù)的要求，并且《個(gè)人信息保護(hù)條例》也正在制定當(dāng)中。在《國家網(wǎng)絡(luò)安全空間戰(zhàn)略》中也提出“加強(qiáng)供應(yīng)鏈安全管理”

供應(yīng)鏈網(wǎng)絡(luò)威脅范圍

和企業(yè)合作開展生產(chǎn)、營銷、管理等業(yè)務(wù)的大量合作伙伴/供應(yīng)商越來越多，他們使用著企業(yè)的數(shù)據(jù)，但是敏感數(shù)據(jù)和隱私的保護(hù)狀況對(duì)企業(yè)來說確并不知曉，第三方風(fēng)險(xiǎn)正處在失控狀態(tài)。Gartner 預(yù)測(cè)2018年企業(yè)重要的數(shù)字合作伙伴最高將達(dá)到143個(gè)(2017年是78個(gè))，Ponemon Institute 2017年的研究報(bào)告中顯示：“能夠接觸敏感信息的第三方平均數(shù)量比去年增加了25%(從378個(gè)增加到471個(gè))”。

以下舉例說明了哪些第三方需要進(jìn)行管理：

• DMP服務(wù)商、數(shù)字廣告投放服務(wù)商、廣告跟蹤服務(wù)商;
• 渠道商、分銷商、代理商;
• 公有云、行業(yè)云提供商;
• 獨(dú)立軟件開發(fā)商 ISV;
• 物流公司、客服公司;
• 健康醫(yī)療機(jī)構(gòu)、法律咨詢機(jī)構(gòu)。

如何管理第三方供應(yīng)商風(fēng)險(xiǎn)

專家指出，如果一家公司對(duì)所有供應(yīng)商的安全和隱私策略進(jìn)行評(píng)估，泄露的可能性可以從66%下降到46%。這需要覆蓋所有供應(yīng)商，雖然其中較好的供應(yīng)商可能已經(jīng)具備了詳細(xì)的網(wǎng)絡(luò)安全防御措施。但是，較小的供應(yīng)商組織并沒有相同級(jí)別的網(wǎng)絡(luò)安全控制措施，甚至連安全負(fù)責(zé)人和基本的安全意識(shí)都沒有。

企業(yè)和供應(yīng)商之間應(yīng)達(dá)成協(xié)議，在SLA中包含安全要求，明確數(shù)據(jù)所有權(quán)和安全責(zé)任，要求供應(yīng)商履行他們對(duì)安全的承諾。并要求這些第三方供應(yīng)商對(duì)他們的伙伴(第四方)也實(shí)施類似的控制。

要求供應(yīng)商進(jìn)行自評(píng)估，并反饋他們的評(píng)估結(jié)果，要求供應(yīng)商同意開展審計(jì)工作，可以采用調(diào)查問卷的形式進(jìn)行，這種自評(píng)估是靜態(tài)且主觀性的方式，利用對(duì)外部威脅情報(bào)數(shù)據(jù)的分析結(jié)果可以進(jìn)行驗(yàn)證和作為客觀性的補(bǔ)充。

深入的供應(yīng)商現(xiàn)場(chǎng)安全評(píng)估，企業(yè)可以結(jié)合供應(yīng)商接觸敏感數(shù)據(jù)的程度判斷重要性，同時(shí)結(jié)合對(duì)外部大數(shù)據(jù)分析的結(jié)果來初步判斷安全性，綜合重要性和安全性來選擇對(duì)供應(yīng)商的管理策略。例如對(duì)重要性高且安全性較差的供應(yīng)商進(jìn)行深入的現(xiàn)場(chǎng)安全調(diào)查。并在現(xiàn)場(chǎng)進(jìn)行安全測(cè)試，對(duì)內(nèi)部安全策略和流程進(jìn)行評(píng)估，了解從數(shù)據(jù)采集、存儲(chǔ)、傳輸?shù)阶詈箐N毀全生命周期，了解數(shù)據(jù)是如何流轉(zhuǎn)和如何受到保護(hù)的。這些對(duì)供應(yīng)商的調(diào)查工作一般會(huì)由企業(yè)負(fù)責(zé)數(shù)字化的業(yè)務(wù)部門(如電子商務(wù))、合規(guī)部門、采購部門、安全部門聯(lián)合開展。

建立供應(yīng)商安全持續(xù)監(jiān)測(cè)和安全評(píng)價(jià)，Gartner在2016年定義了一項(xiàng)新興技術(shù)——Security Rating Service(SRS)，基于事實(shí)數(shù)據(jù)進(jìn)行獨(dú)立、定量、持續(xù)的安全評(píng)價(jià)服務(wù)。

國際上有幾家提供安全評(píng)級(jí)的組織，例如：BitSight Technologies 、SecurityScorecard 、Riskrecon;國內(nèi)也看到像 “安全值” 這樣的新興服務(wù)。基于問卷的評(píng)估是很重要的，但不夠充分，因?yàn)樗鼈兪庆o態(tài)和主觀的。定期現(xiàn)場(chǎng)評(píng)估測(cè)試費(fèi)用更加昂貴，并且不夠及時(shí)。為了主動(dòng)降低風(fēng)險(xiǎn)，企業(yè)需要借助這樣的自動(dòng)化工具，持續(xù)的監(jiān)測(cè)和評(píng)估，并完成供應(yīng)商的安全評(píng)分。第三方/供應(yīng)商風(fēng)險(xiǎn)管理是Security Rating Service 很重要的應(yīng)用場(chǎng)景，實(shí)現(xiàn)企業(yè)與供應(yīng)商一起持續(xù)地了解相關(guān)的風(fēng)險(xiǎn)。

建立完整的供應(yīng)商信息安全風(fēng)險(xiǎn)管理流程，OCEG是一個(gè)提供企業(yè)治理、風(fēng)險(xiǎn)與合規(guī)GRC解決方案的非贏利組織，其2017年發(fā)布了一份研究成果《對(duì)于管理第三方信息安全的步驟與方法分析》。研究顯示 “ 2015年，網(wǎng)絡(luò)攻擊為企業(yè)帶來超過4000億美元的經(jīng)濟(jì)損失，其中超過2/3的攻擊是通過處理企業(yè)或客戶數(shù)據(jù)的第三方合作伙伴實(shí)現(xiàn)的，因此有效控制企業(yè)供應(yīng)商風(fēng)險(xiǎn)對(duì)于存在外部擴(kuò)展業(yè)務(wù)的企業(yè)至關(guān)重要。完成上述風(fēng)險(xiǎn)管理工作就需要驗(yàn)證、修復(fù)和監(jiān)控第三方控制的有效性，這需要使用復(fù)雜且基于任務(wù)設(shè)計(jì)的技術(shù)支撐。定義了該流程的關(guān)鍵步驟，并對(duì)第三方安全管理的發(fā)展做出了一些預(yù)測(cè)。”

該流程一共分為7個(gè)步驟指導(dǎo)企業(yè)在簽約、續(xù)約前，第三方關(guān)系發(fā)生變化或到達(dá)考核期應(yīng)觸發(fā)企業(yè)的第三方安全風(fēng)險(xiǎn)管理流程。

1. 分析第三方帶來的風(fēng)險(xiǎn)分析和供應(yīng)商分類

識(shí)別第三方服務(wù)類型和重要性，基于風(fēng)險(xiǎn)層次來定義對(duì)第三方進(jìn)行盡職調(diào)查的頻率、方式，包括遠(yuǎn)程驗(yàn)證、現(xiàn)場(chǎng)驗(yàn)證，對(duì)于低風(fēng)險(xiǎn)的供應(yīng)商可以接受問卷的回復(fù)而無需進(jìn)行盡職調(diào)查。

2. 確定供應(yīng)商風(fēng)險(xiǎn)范圍

根據(jù)每個(gè)第三方觸及的數(shù)據(jù)、系統(tǒng)、提供的服務(wù)(例如：敏感數(shù)據(jù)處理、軟件開發(fā)、云服務(wù)、基礎(chǔ)設(shè)施等)映射到需要的控制措施，評(píng)估每種關(guān)系的固有風(fēng)險(xiǎn)和服務(wù)的關(guān)鍵性。

3. 收集證據(jù)

獲取問卷調(diào)查結(jié)果和相關(guān)文件作為評(píng)估第三方控制有效性的證據(jù)，結(jié)合客觀事實(shí)的“公開數(shù)據(jù)”(例如威脅情報(bào)數(shù)據(jù))，可以對(duì)低風(fēng)險(xiǎn)的第三方結(jié)果進(jìn)行自動(dòng)審核以減少工作負(fù)擔(dān)。

4. 評(píng)估風(fēng)險(xiǎn)

通過文件分析、技術(shù)驗(yàn)證、現(xiàn)場(chǎng)評(píng)估手段確認(rèn)供應(yīng)商所需的安全控制措施到位，評(píng)估控制策略和運(yùn)行效果。

5. 修復(fù)

標(biāo)記無效控制識(shí)別安全問題，并跟蹤必要的安全問題整改的情況，完成整改之后進(jìn)行復(fù)查。例如：發(fā)現(xiàn)數(shù)據(jù)訪問權(quán)限過大，任何角色都可以訪問數(shù)據(jù)庫，供應(yīng)商需要主動(dòng)將工作計(jì)劃和整改進(jìn)度進(jìn)行反饋。

6. 報(bào)告

報(bào)告殘余風(fēng)險(xiǎn)和補(bǔ)救措施，以遍讓董事會(huì)、管理層等相關(guān)利益方都可以了解。一般涉及到IT風(fēng)險(xiǎn)管理部門、供應(yīng)商管理部門、和供應(yīng)商合作的業(yè)務(wù)部門、合規(guī)部門。

7. 監(jiān)控

對(duì)供應(yīng)商進(jìn)行SLA、安全事件、安全漏洞和安全狀況變化的監(jiān)控，在重新分類和更新評(píng)估結(jié)果時(shí)進(jìn)行風(fēng)險(xiǎn)提醒。通過對(duì)威脅情報(bào)和外部數(shù)據(jù)的分析，可以從外部視角觀察到供應(yīng)商的互聯(lián)網(wǎng)資產(chǎn)、安全事件和脆弱性三類信息，包括域名、主機(jī)、IP網(wǎng)絡(luò)、云服務(wù)網(wǎng)絡(luò)、僵尸網(wǎng)絡(luò)、DDOS攻擊、惡意代碼、垃圾郵件、黑名單、安全漏洞、開放端口、安全配置缺失等信息。

目前金融、教育、醫(yī)療、快消品、生產(chǎn)制造行業(yè)對(duì)客戶數(shù)據(jù)的敏感性都非常高，并且在數(shù)字化轉(zhuǎn)型過程中必然和大量的第三方進(jìn)行合作，第三方風(fēng)險(xiǎn)不容忽視，有效管理需要一種新的方法，使企業(yè)在他們的數(shù)字生態(tài)系統(tǒng)中了解風(fēng)險(xiǎn)，定制自己的控制措施，第三方的安全意識(shí)、能力、資源都相對(duì)較弱，需要共同修復(fù)和減輕這些風(fēng)險(xiǎn)。