隨著業(yè)務(wù)流程變得越來越復(fù)雜，公司開始依賴第三方來提升其提供關(guān)鍵服務(wù)的能力，從云存儲(chǔ)到數(shù)據(jù)管理再到安全保障。雖然這樣做通常更高效且成本更低，但使用第三方服務(wù)也可能帶來重大——且往往是意想不到的——風(fēng)險(xiǎn)。

第三方可能成為入侵的門戶，如果服務(wù)出現(xiàn)故障，還可能損害公司的聲譽(yù)，暴露其在財(cái)務(wù)和法規(guī)方面的問題，并吸引來自全球的不良行為者的注意。與供應(yīng)商管理不善的分手也可能危險(xiǎn)，導(dǎo)致失去對(duì)第三方所建立的系統(tǒng)的訪問權(quán)限、失去數(shù)據(jù)的保管權(quán)或數(shù)據(jù)本身的丟失。

什么是第三方風(fēng)險(xiǎn)管理？

第三方風(fēng)險(xiǎn)管理（TPRM）是一種風(fēng)險(xiǎn)管理學(xué)科，涉及識(shí)別、評(píng)估和減輕使用外部方（如合作伙伴、供應(yīng)商、承包商和服務(wù)提供商）相關(guān)的風(fēng)險(xiǎn)，這些第三方通?？梢栽L問企業(yè)的各種系統(tǒng)和數(shù)據(jù)，且常常作為企業(yè)關(guān)鍵業(yè)務(wù)操作的重要參與者。因此，第三方可能會(huì)增加你的網(wǎng)絡(luò)風(fēng)險(xiǎn)，因?yàn)樗麄兛赡苡龅降娜魏伟踩珕栴}都會(huì)對(duì)你的企業(yè)產(chǎn)生連鎖效應(yīng)。

第三方風(fēng)險(xiǎn)管理也常被稱為供應(yīng)商風(fēng)險(xiǎn)管理，提供了一個(gè)框架來識(shí)別所有能夠訪問企業(yè)系統(tǒng)、數(shù)據(jù)和設(shè)施的第三方，它還確保你的企業(yè)根據(jù)每個(gè)第三方可以訪問的內(nèi)容、其安全實(shí)踐以及其可能面臨的威脅來評(píng)估與之相關(guān)的風(fēng)險(xiǎn)。

為了減輕第三方風(fēng)險(xiǎn)，企業(yè)必須與其依賴的第三方合作，進(jìn)行其安全實(shí)踐的評(píng)估和審計(jì)，還必須建立明確的合同協(xié)議，明確所有相關(guān)方的安全期望和責(zé)任。成功的第三方風(fēng)險(xiǎn)管理還需要持續(xù)的監(jiān)控和監(jiān)督，以確保第三方遵守已商定的措施，并制定事件響應(yīng)和補(bǔ)救策略，以應(yīng)對(duì)任何問題。

為什么第三方風(fēng)險(xiǎn)管理很重要？

對(duì)第三方服務(wù)的依賴正在增加，因此，企業(yè)發(fā)現(xiàn)自己越來越容易受到合作伙伴實(shí)體帶來的潛在安全問題的影響。

“企業(yè)越來越依賴第三方，如技術(shù)和云供應(yīng)商，這些供應(yīng)商存儲(chǔ)敏感數(shù)據(jù)或訪問關(guān)鍵系統(tǒng)，”Gartner分析師Luke Ellery表示，“如果第三方的網(wǎng)絡(luò)安全控制較差，這種風(fēng)險(xiǎn)會(huì)更高，還有風(fēng)險(xiǎn)是第三方自己的供應(yīng)商被妥協(xié)，如果數(shù)據(jù)或系統(tǒng)被妥協(xié)，可能導(dǎo)致品牌和聲譽(yù)損害、法律和監(jiān)管罰款或處罰以及補(bǔ)救成本?！?/p>

使用第三方對(duì)于許多企業(yè)來說是廣泛接受的必要舉措，技術(shù)研究和咨詢公司ISG的高級(jí)總監(jiān)Hanne McBlain表示，但這些第三方需要進(jìn)行持續(xù)管理。第三方合作伴隨著固有的業(yè)務(wù)風(fēng)險(xiǎn)，因?yàn)檫@將控制權(quán)的一部分移出了公司的墻外。Deltek的首席信息安全官Caleb Merriman表示，考慮到98%的全球企業(yè)在過去兩年中至少與一個(gè)曾遭遇過數(shù)據(jù)泄露的第三方供應(yīng)商有聯(lián)系，這一問題顯得尤為緊迫。Deltek是一家為項(xiàng)目型企業(yè)提供軟件的供應(yīng)商。

主要的第三方網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

以下是第三方服務(wù)暴露給你的五大主要網(wǎng)絡(luò)安全風(fēng)險(xiǎn)：

因網(wǎng)絡(luò)攻擊導(dǎo)致的客戶和公司數(shù)據(jù)泄露

根據(jù)世界經(jīng)濟(jì)論壇的《2022年全球網(wǎng)絡(luò)安全前景》，通過第三方進(jìn)行的間接網(wǎng)絡(luò)攻擊——即通過第三方成功入侵公司——在過去幾年中從44%增加到61%。IT和安全咨詢公司InferSight的首席信息安全官Peter Tran表示，這種情況發(fā)生的原因之一是許多公司沒有適當(dāng)?shù)目刂拼胧﹣碛行У匦遁d第三方供應(yīng)商。他說：“他們沒有相應(yīng)的流程來控制這些賬戶的訪問管理權(quán)和配置，這為尋找仍然活躍的舊賬戶的網(wǎng)絡(luò)攻擊者留下了機(jī)會(huì)?！?/p>

從第三方數(shù)據(jù)泄露中獲取的數(shù)據(jù)可能被威脅行為者濫用，進(jìn)行各種惡意活動(dòng)，包括身份盜竊、欺詐、賬戶濫用和外部賬戶接管攻擊，MassMutual的首席信息安全官Ariel Weintraub表示。威脅行為者經(jīng)常使用從第三方甚至第四方泄露中獲取的受損憑證和數(shù)據(jù)，來訪問其他受害者的環(huán)境。

“第三方可能在托管公司的數(shù)據(jù)時(shí)受到攻擊，或者攻擊者首先攻擊第三方，然后利用這一點(diǎn)來進(jìn)入你的IT系統(tǒng)，”MorganFranklin的網(wǎng)絡(luò)安全分析師Michael Orozco表示。他說，供應(yīng)商生命周期內(nèi)的盡職調(diào)查和持續(xù)監(jiān)控漏洞將有助于降低這一風(fēng)險(xiǎn)。

實(shí)施深度防御策略以限制第三方訪問企業(yè)網(wǎng)絡(luò)對(duì)于防止對(duì)手獲取權(quán)限升級(jí)至關(guān)重要，Weintraub說。因此，公司必須在允許第三方訪問其系統(tǒng)之前，全面審查所有第三方供應(yīng)商，以確保他們已實(shí)施適當(dāng)?shù)陌踩珔f(xié)議。“第三方總是涉及到我們的數(shù)據(jù)，這就是為什么我們不斷評(píng)估新的和現(xiàn)有的第三方，以與公司的網(wǎng)絡(luò)風(fēng)險(xiǎn)相稱的方式進(jìn)行評(píng)估?！?/p>

事件成本和業(yè)務(wù)損失帶來的財(cái)務(wù)風(fēng)險(xiǎn)

Managed services公司GreenPages的首席信息安全官和首席信息官Jay Pasteris表示，入侵的成本可能非常高昂，如果公司沒有以正確的方式保護(hù)其系統(tǒng)，網(wǎng)絡(luò)安全保險(xiǎn)并不總是涵蓋數(shù)據(jù)泄露。

“財(cái)務(wù)影響不僅是你的損失，你還會(huì)對(duì)企業(yè)的聲譽(yù)造成損害，”他說，“你會(huì)失去客戶，你會(huì)失去新客戶的信任，你失去了現(xiàn)有客戶的信任，因此，你失去了收入來源……而替換現(xiàn)有客戶需要花費(fèi)大量金錢，所以這種財(cái)務(wù)影響會(huì)迅速累積。”

聲譽(yù)損害、客戶信任喪失

雖然數(shù)據(jù)泄露可能并未發(fā)生在公司的四墻之內(nèi)，但如果第三方服務(wù)涉及到客戶公司的數(shù)據(jù)或其客戶的數(shù)據(jù)泄露，該公司可能需要發(fā)表聲明或通知相關(guān)人員。Weintraub表示：“由于這種下游影響，聲譽(yù)影響可能遠(yuǎn)遠(yuǎn)超過財(cái)務(wù)損失?！?/p>

服務(wù)提供商的數(shù)據(jù)泄露帶來的負(fù)面宣傳可能損害公司的良好名聲或地位，而公眾對(duì)企業(yè)的不良看法可能始于第三方供應(yīng)商名單中的問題。Orozco說，客戶對(duì)第三方提供的服務(wù)的投訴是潛在問題的良好指示。“客戶看不到你的組裝、產(chǎn)品、服務(wù)以及與你互動(dòng)的能力是由第三方支持的，”他說，“他們只看到你的名字、你的品牌以及你無法滿足對(duì)他們的承諾?！?/p>

許多企業(yè)采取主動(dòng)措施，以確保其第三方是有效的數(shù)據(jù)保管者，然而，當(dāng)?shù)谌綆в凶约旱墓?yīng)商鏈時(shí)，事情就變得更加復(fù)雜，Weintraub表示?！半S著你繼續(xù)深入到你的供應(yīng)商和你供應(yīng)商的供應(yīng)商，了解所有這些實(shí)體及其保護(hù)敏感數(shù)據(jù)的第三方風(fēng)險(xiǎn)計(jì)劃的成熟度可能會(huì)變得困難。”

地緣政治風(fēng)險(xiǎn)

McBlain表示，烏克蘭戰(zhàn)爭(zhēng)凸顯了企業(yè)密切關(guān)注政治動(dòng)態(tài)并準(zhǔn)備在動(dòng)蕩局勢(shì)中采取行動(dòng)的必要性。企業(yè)需要確保所有在受制裁司法管轄區(qū)的供應(yīng)商、合作伙伴和合資企業(yè)活動(dòng)已停止。

“然而，烏克蘭戰(zhàn)爭(zhēng)以及對(duì)俄羅斯和白俄羅斯的相關(guān)制裁并不是唯一需要考慮的地緣政治風(fēng)險(xiǎn)，”她說，“在政權(quán)不穩(wěn)定國(guó)家有業(yè)務(wù)的供應(yīng)商，例如經(jīng)歷軍事政變、暴力起義和系統(tǒng)性壓迫少數(shù)族裔的國(guó)家，需要仔細(xì)和持續(xù)的監(jiān)控?！?/p>

政治動(dòng)蕩通常伴隨著國(guó)家級(jí)網(wǎng)絡(luò)間諜活動(dòng)的增加，企業(yè)需要確保其第三方供應(yīng)商對(duì)其承包商進(jìn)行徹底審查，確認(rèn)其是否與從事此類行為的政府有聯(lián)系，Weintraub表示。“第三方可能在不知情的情況下雇用由國(guó)家派遣的自由職業(yè)IT遠(yuǎn)程工作者，這些人可能是為該國(guó)專制政權(quán)創(chuàng)收或獲取公司網(wǎng)絡(luò)訪問權(quán)，”她說，“雖然他們?cè)诠ぷ鲿r(shí)可能不從事任何惡意網(wǎng)絡(luò)活動(dòng)，但他們可能利用其特權(quán)訪問權(quán)限，從內(nèi)部推動(dòng)惡意網(wǎng)絡(luò)入侵。這使得惡意活動(dòng)的檢測(cè)變得困難。”

法規(guī)遵從性風(fēng)險(xiǎn)

當(dāng)?shù)谌焦?yīng)商違反政府法律、行業(yè)法規(guī)或公司內(nèi)部流程時(shí)，也會(huì)使企業(yè)面臨合規(guī)性風(fēng)險(xiǎn)，供應(yīng)商的不合規(guī)行為可能會(huì)使雇用他們的公司面臨巨額罰款。

例如，企業(yè)需要檢查其第三方供應(yīng)商是否符合SOC2審計(jì)標(biāo)準(zhǔn)，SOC2旨在確保第三方保護(hù)其客戶的敏感數(shù)據(jù)不被未經(jīng)授權(quán)訪問。企業(yè)還必須確保第三方遵守隱私和安全法律，如歐盟的《通用數(shù)據(jù)保護(hù)條例》（GDPR）和加州的《隱私權(quán)法案》（CPRA）要求，他說。

“合規(guī)是一個(gè)巨大的風(fēng)險(xiǎn)，”Pasteris表示，“你可能已經(jīng)符合合規(guī)要求并且有必要的控制措施，但突然之間你增加了這些第三方，如果你沒有評(píng)估他們是否有控制措施，你可能會(huì)違反你的合規(guī)立場(chǎng)?！?/p>