[[433671]]

CyCognito委托Osterman Research進行調(diào)研的結(jié)果表明，相比沒有子公司或子公司數(shù)量較少的企業(yè)，子公司數(shù)量眾多的跨國企業(yè)更容易受到網(wǎng)絡(luò)安全威脅，且更難以管理風險。

這項調(diào)研的目標對象是至少擁有10家子公司和3000多名雇員或年收入在10億美元以上的201家企業(yè)。

盡管對自家子公司風險管理的有效性極具信心，但約67%的受訪者表示，其所在企業(yè)要么經(jīng)歷過攻擊鏈包括子公司的網(wǎng)絡(luò)攻擊，要么無法排除這種可能性。

約半數(shù)受訪者承認，即使“明天”就發(fā)生數(shù)據(jù)泄露，他們也毫不驚訝。這些受訪者身居網(wǎng)絡(luò)安全、合規(guī)或風險方面的管理職位。每家受訪企業(yè)都有員工專職監(jiān)測子公司風險。

Osterman Research高級分析師Michael Sampson表示：“我們希望了解企業(yè)面臨的威脅和風險，不僅僅是企業(yè)剛剛收購或兼并的子公司，更重要的是那些已經(jīng)存在多年或更長時間的子公司。而且鑒于網(wǎng)絡(luò)安全挑戰(zhàn)、風險和問題不斷變化，即使公司當下的網(wǎng)絡(luò)安全事件歷史清白，我敢打賭，隨著新漏洞的發(fā)現(xiàn)或凸顯，這種安全狀態(tài)會不斷下滑。”

Sampson稱，如果子公司不知道資產(chǎn)和數(shù)據(jù)源暴露情況，或者選擇向母公司隱瞞此類情況，這些漏洞就會被忽視，并在以后發(fā)展成重大問題。

子公司面臨多重安全風險

調(diào)研報告強調(diào)，以犧牲安全為代價的合規(guī)、復雜的并入流程、不常執(zhí)行且冗長的風險管理過程、過度使用手動工具，以及修復與檢測結(jié)果之間的滯后，這些都是子公司風險管理中的主要障礙。

報告稱，宏觀趨勢和業(yè)務(wù)運營環(huán)境正在影響安全運營現(xiàn)實。例如，在子公司的首要問題方面，69%的受訪者提到了新冠肺炎疫情引發(fā)的數(shù)字轉(zhuǎn)型，56%的受訪者則指向全球近期頻頻發(fā)生的重大供應(yīng)鏈攻擊事件。

Sampson稱：“我認為，我們將看到企業(yè)越來越重視網(wǎng)絡(luò)安全，而且過去五年中，一些網(wǎng)絡(luò)安全威脅也已經(jīng)廣為人知了。供應(yīng)鏈勒索軟件和商務(wù)電郵入侵(BEC)就是其中最常見的兩種。”

報告強調(diào)，企業(yè)更重視子公司風險監(jiān)測中的合規(guī)方面而非安全方面，這就在子公司并入和管理過程中留下了漏洞，導致面臨更多攻擊。

子公司并入本身是一項復雜的任務(wù)，只有大約5%的受訪者確認擁有無縫整合新業(yè)務(wù)部門的成熟流程，而其他受訪者則抱怨，母公司和子公司兩方面都背負著巨大的工作量。

受訪者表示，目前實行的子公司管理操作太過稀少，某種意義上講，由于收集的數(shù)據(jù)具有即時性，因此只能提供快照視圖，很快就會過時。此外，大多數(shù)受訪者認為，當前的流程不足以覆蓋企業(yè)的潛在攻擊面，留有漏洞，還經(jīng)常會大量產(chǎn)生需費時費力處理的誤報。

風險評估耗時太久

另一項重要考慮是子公司相關(guān)風險的評估耗時。目前，54%的受訪企業(yè)平均花費一周到三個月的時間進行風險評估，其中71%想將風險評估時間縮短至一天以內(nèi)。

受訪者還指出了安全漏洞檢測與修復之間的滯后問題。大約73%的受訪者稱，檢出安全漏洞與修復安全漏洞之間存在一周到一個月的時間差。這種滯后可能造成十分危險的攻擊機會。更糟的是，管理安全風險所需的大量工具不過是增加了總處理時間。

根據(jù)該報告，相比子公司數(shù)量較少的企業(yè)，擁有大量子公司的企業(yè)多花費一個月以上才能修復所檢出安全漏洞的可能性要高50%。而所在母公司下轄子公司數(shù)量不少于17家的受訪者，表示子公司不止一次卷入網(wǎng)絡(luò)攻擊鏈的可能性，比所在企業(yè)子公司數(shù)量較少的受訪者高出近一倍。

網(wǎng)絡(luò)安全公司CyCognito創(chuàng)始人兼首席執(zhí)行官Rob Gurzeev稱：“子公司風險管理面臨的挑戰(zhàn)是，母公司和子公司可能分處不同的國家/地區(qū)，可能使用完全不同的技術(shù)棧、流程、溝通方式和文化。如果我是企業(yè)甚至整個集團的首席安全官，我對這些其他企業(yè)的資產(chǎn)可能一無所知，進而即便我知曉了某種風險，我也缺乏著手應(yīng)對的相關(guān)上下文。”

雖然上世紀90年代末的漏洞管理和滲透測試通常僅限于公司幾臺接入互聯(lián)網(wǎng)的服務(wù)器，但過去幾十年間的上云工作向成千上萬的工程師、供應(yīng)商、合作伙伴和第三方開放了系統(tǒng)框架。Gurzeev表示，在已延伸的網(wǎng)絡(luò)架構(gòu)中加入子公司只會增加攻擊面，需要更加有效的應(yīng)對措施。