隨著軟件供應(yīng)鏈攻擊的不斷加劇，如何進一步加強第三方風(fēng)險管理（TPRM）工作已經(jīng)成為現(xiàn)代企業(yè)領(lǐng)導(dǎo)者們關(guān)注的焦點。因為，今天的企業(yè)組織大量依賴于第三方生態(tài)來共同構(gòu)建產(chǎn)品，并完成對用戶的服務(wù)交付，因此創(chuàng)建一個有效的TPRM計劃對于組織評估潛在的安全風(fēng)險，管理不斷增長的數(shù)字攻擊面至關(guān)重要。

當(dāng)企業(yè)開始實施TPRM計劃時，面臨困難和挑戰(zhàn)是在所難免的，這取決于其第三方生態(tài)系統(tǒng)的規(guī)模、安全態(tài)勢以及組織的現(xiàn)有安全狀況。日前，安全研究人員總結(jié)了企業(yè)組織在實施TPRM計劃時將面臨的最常見挑戰(zhàn)： 

• 如何繪制有效地生態(tài)系統(tǒng)全景圖；
• 如何開展供應(yīng)商盡職調(diào)查和風(fēng)險評級；
• 如何為供應(yīng)商設(shè)置風(fēng)險處置優(yōu)先級；
• 如何開展供應(yīng)商安全問卷調(diào)查；
• 如何增強對所有供應(yīng)商的安全可見性；
• 如何實現(xiàn)可持續(xù)地風(fēng)險監(jiān)控；
• 如何構(gòu)建自動化TPRM流程；
• 如何創(chuàng)建高效的TPRM管理策略。

01如何繪制有效地生態(tài)系統(tǒng)全景圖

企業(yè)在實施TPRM計劃時，面臨的第一個挑戰(zhàn)就是如何創(chuàng)建其供應(yīng)商生態(tài)系統(tǒng)的完整視圖。該視圖不僅應(yīng)包括組織當(dāng)前所有第三方供應(yīng)商的清單，還需要包括可能給組織帶來潛在風(fēng)險的第四方服務(wù)商。當(dāng)組織無法有效地映射其供應(yīng)商時，生態(tài)系統(tǒng)中就會產(chǎn)生盲點，并導(dǎo)致組織混亂、缺乏風(fēng)險可見性、未管理風(fēng)險的增加以及供應(yīng)鏈攻擊的機會。

為了繪制完整的生態(tài)視圖，組織應(yīng)該在所有內(nèi)部部門之間共享供應(yīng)商信息，以有效地映射其整個第三方生態(tài)系統(tǒng)。組織還可以通過識別在第三方關(guān)系（會計、法律、運營等）中活躍的人員，專門評估每個人所涉及的重要供應(yīng)商信息（支出報告、合同、訂單等），并統(tǒng)一協(xié)調(diào)供應(yīng)商信息。在繪制生態(tài)系統(tǒng)視圖的同時，組織還應(yīng)該同步設(shè)置入駐程序，以便將來添加新的供應(yīng)商。

02如何開展供應(yīng)商盡職調(diào)查和風(fēng)險評級

TPRM計劃實施的另一個常見挑戰(zhàn)是確定哪些風(fēng)險評估措施是審核供應(yīng)商風(fēng)險概況時所必需的。而在執(zhí)行盡職調(diào)查時，組織又需要根據(jù)哪些因素（包括供應(yīng)商與敏感數(shù)據(jù)的接近程度、運營重要性等）對供應(yīng)商進行風(fēng)險級別評價？

風(fēng)險評級可以幫助組織管理和準(zhǔn)確評估供應(yīng)商可能帶給組織的潛在風(fēng)險程度。如果不能有效將風(fēng)險分級納入到供應(yīng)商盡職調(diào)查計劃，企業(yè)將難以確定與該供應(yīng)商開展業(yè)務(wù)合作是否安全。為了做好供應(yīng)商盡職調(diào)查和風(fēng)險評級，組織應(yīng)該利用成熟的第三方供應(yīng)商管理工具來協(xié)助完成供應(yīng)商風(fēng)險水平的評測。

03如何為供應(yīng)商設(shè)置風(fēng)險處置優(yōu)先級

在執(zhí)行完供應(yīng)商盡職調(diào)查和風(fēng)險分級之后，組織還需要決定將哪些供應(yīng)商列為優(yōu)先進行風(fēng)險處置和事件響應(yīng)。通常，對企業(yè)業(yè)務(wù)運營至關(guān)重要的供應(yīng)商可能會獲得最高級別的風(fēng)險處置關(guān)注。

 一個完善的供應(yīng)商風(fēng)險管理系統(tǒng)應(yīng)該允許組織主動發(fā)現(xiàn)第三方安全風(fēng)險，按嚴(yán)重程度對安全風(fēng)險進行排序，并要求供應(yīng)商及時糾正錯誤。對于高風(fēng)險供應(yīng)商，可能需要更嚴(yán)格的第三方風(fēng)險管理策略。對于最高風(fēng)險級別的供應(yīng)商，可能需要遠程或現(xiàn)場審計以確保信息安全。相比之下，低風(fēng)險的供應(yīng)商通常只需要例行合規(guī)性檢查即可。

04如何開展供應(yīng)商安全問卷調(diào)查

各種類型的供應(yīng)商風(fēng)險評估方法（審計、滲透測試和問卷調(diào)查）都有其優(yōu)點和缺點?，F(xiàn)場審計和滲透測試需要大量的資源，包括時間、金錢和專業(yè)人員。在這種情況下，大多數(shù)組織都會選擇自我評價風(fēng)險的問卷調(diào)查方式，這也比較適用于中等及以下風(fēng)險等級的供應(yīng)商。

當(dāng)企業(yè)組織在整個供應(yīng)鏈中分發(fā)安全調(diào)查問卷時，要確保每個供應(yīng)商都能夠認(rèn)真填寫問卷，并驗證每個供應(yīng)商答案的有效性，這些都可能給組織帶來挑戰(zhàn)。為了應(yīng)對這一挑戰(zhàn)，組織應(yīng)該考慮將問卷調(diào)查工作外包給獨立的第三方結(jié)構(gòu)，這樣可以顯著提升問卷調(diào)查的有效性。

05如何增強對所有供應(yīng)商的安全可見性

隨著數(shù)字化轉(zhuǎn)型發(fā)展的深入，企業(yè)的供應(yīng)商生態(tài)系統(tǒng)也在不斷增長，其安全可見性將變得越來越難以維護。對于組織來說，需要將所有供應(yīng)商的安全可見性與保護數(shù)據(jù)隱私的合規(guī)要求結(jié)合起來，以確保所有供應(yīng)商都能符合行業(yè)性的安全標(biāo)準(zhǔn)。為了應(yīng)對這一挑戰(zhàn)，企業(yè)可以利用供應(yīng)商管理工具在一個集中位置監(jiān)視所有供應(yīng)商，并持續(xù)性分析整個供應(yīng)鏈中每個供應(yīng)商的合規(guī)狀態(tài)，及時發(fā)現(xiàn)其中的違規(guī)風(fēng)險。

06如何實現(xiàn)可持續(xù)地風(fēng)險監(jiān)控

在第三方風(fēng)險管理過程中，很多風(fēng)險評估方法僅能夠評估當(dāng)前時刻供應(yīng)商的風(fēng)險態(tài)勢。但是，隨著業(yè)務(wù)的推進發(fā)展，以及供應(yīng)商的安全態(tài)勢不斷變化，這可能會使組織無法及時識別出很多動態(tài)產(chǎn)生的第三方安全風(fēng)險。

為了獲取到最新的風(fēng)險視圖，組織應(yīng)該在其TPRM計劃中實現(xiàn)連續(xù)的風(fēng)險監(jiān)控。持續(xù)監(jiān)控可組織帶來如下好處： 

• 顯著提高第三方安全事件響應(yīng)指標(biāo)；
• 提高整個供應(yīng)商生態(tài)系統(tǒng)的持續(xù)可見性；
• 消除問卷周期之間可能出現(xiàn)的安全盲點；
• 提供實時的安全狀態(tài)更新。

07如何構(gòu)建自動化TPRM流程

隨著企業(yè)規(guī)模的擴大和第三方合作伙伴數(shù)量的增加，其TPRM計劃的維護將變得更具挑戰(zhàn)性。實現(xiàn)自動化是企業(yè)加強其TPRM計劃的最佳方式。通過自動化流程，企業(yè)可以將其TPRM工作標(biāo)準(zhǔn)化，減少風(fēng)險管理中的錯誤和疏漏。一些先進的自動化TPRM工具還配備了風(fēng)險審計工具，可以確保部署的風(fēng)險控制措施安全有效。

08如何創(chuàng)建高效的TPRM管理策略

在TPRM實施過程中，企業(yè)將面臨的最困難的挑戰(zhàn)就是如何將風(fēng)險管理的各個環(huán)節(jié)融合在一起，形成一個全面、高效的第三方供應(yīng)商風(fēng)險管理體系。大量應(yīng)用實踐表明，一個完整的TPRM管理策略應(yīng)包括以下關(guān)鍵元素：

• 供應(yīng)商合規(guī)標(biāo)準(zhǔn)；
• 供應(yīng)商在數(shù)據(jù)泄露事件中的責(zé)任；
• 可接受的供應(yīng)商安全態(tài)勢和安全等級控制；
• 發(fā)生第三方數(shù)據(jù)泄露或安全事件時的響應(yīng)計劃；
• 組織對戰(zhàn)略風(fēng)險和其他TPRM原則的態(tài)度；
• 高級管理層的監(jiān)督管理制度。 

參考鏈接：https://www.upguard.com/blog/tprm-challenges