在過去的12個(gè)月里，你是否曾擔(dān)心過企業(yè)的數(shù)據(jù)安全?據(jù)Imprivata和波耐蒙研究所的聯(lián)合調(diào)查，近半數(shù)(47%)的企業(yè)都遭遇了數(shù)據(jù)泄露或網(wǎng)絡(luò)攻擊，而這一切的“罪魁禍?zhǔn)住本故堑谌皆L問其網(wǎng)絡(luò)。這一數(shù)據(jù)無疑為我們敲響了警鐘，第三方安全事件正持續(xù)存在，且威脅不容小覷。

更令人擔(dān)憂的是，64%的受訪者預(yù)測(cè)，在未來12至24個(gè)月內(nèi)，這類第三方數(shù)據(jù)泄露事件要么會(huì)增加，要么會(huì)保持在令人警覺的高水平。這意味著，我們面臨的不僅僅是一個(gè)短暫的問題，而是一個(gè)長期且持續(xù)的挑戰(zhàn)。這份報(bào)告調(diào)查了全球近2000名IT安全從業(yè)人員，他們普遍表示，對(duì)與第三方訪問相關(guān)的安全風(fēng)險(xiǎn)意識(shí)有所提高。這背后，或許正是企業(yè)親身經(jīng)歷了安全事件所帶來的痛楚和教訓(xùn)。

然而，盡管企業(yè)們已經(jīng)在努力應(yīng)對(duì)第三方風(fēng)險(xiǎn)，但由于安全策略的不一致和不成熟，這一任務(wù)仍然顯得艱巨無比。事實(shí)上，有近一半(48%)的企業(yè)認(rèn)為，第三方遠(yuǎn)程訪問正在成為最常見的攻擊面。網(wǎng)絡(luò)犯罪分子仿佛找到了一個(gè)新的“金礦”，頻頻利用這一弱點(diǎn)發(fā)起攻擊。

那么，這些安全事件給企業(yè)帶來了多大的損失呢?調(diào)查受訪者被要求估算其企業(yè)為恢復(fù)第三方和特權(quán)內(nèi)部用戶的訪問權(quán)限所花費(fèi)的成本。雖然答案各不相同，但平均每起事件的成本高達(dá)88000美元。這是一筆不小的開銷，對(duì)于任何企業(yè)來說都是沉重的負(fù)擔(dān)。

Imprivata全球網(wǎng)絡(luò)工程高級(jí)副總裁Joel Burleson-Davis直言不諱地指出：“進(jìn)行全球業(yè)務(wù)確實(shí)需要第三方訪問，但它也是最大的安全威脅之一。企業(yè)不能再掉以輕心了。雖然我們?cè)趹?yīng)對(duì)第三方風(fēng)險(xiǎn)方面取得了一些進(jìn)展，但仍然存在很多不足。網(wǎng)絡(luò)犯罪分子繼續(xù)利用這一弱點(diǎn)，利用第三方供應(yīng)商生態(tài)系統(tǒng)中的缺乏可見性和不確定性來謀取利益?！?/p>

企業(yè)在應(yīng)對(duì)第三方訪問風(fēng)險(xiǎn)時(shí)，還面臨著資源不一致的困境。在過去12個(gè)月內(nèi)因第三方訪問而遭遇數(shù)據(jù)泄露或網(wǎng)絡(luò)攻擊的企業(yè)中，最嚴(yán)重的后果包括敏感和機(jī)密信息的丟失或被盜(53%)、監(jiān)管罰款(50%)以及與受影響第三方或供應(yīng)商的關(guān)系中斷(49%)。這些后果不僅關(guān)乎企業(yè)的經(jīng)濟(jì)利益，更可能影響到企業(yè)的聲譽(yù)和未來發(fā)展。

值得注意的是，雖然34%的受訪者表示攻擊涉及第三方擁有過多的特權(quán)訪問權(quán)限，但這一比例較2022年的70%已經(jīng)有所下降。這一趨勢(shì)表明，企業(yè)在改善為第三方提供適當(dāng)訪問權(quán)限的能力方面正在取得進(jìn)步。然而，這并不意味著我們可以高枕無憂。相反，我們?nèi)匀恍枰訌?qiáng)企業(yè)內(nèi)的整體安全策略，以確保第三方訪問的安全性。

當(dāng)企業(yè)試圖應(yīng)對(duì)第三方威脅時(shí)，它們正面臨著一系列困境。其中，最突出的問題就是缺乏對(duì)網(wǎng)絡(luò)攻擊發(fā)生原因的明確了解。35%的受訪者表示，他們不確定自己遭受的網(wǎng)絡(luò)攻擊是如何發(fā)生的，這一比例較2022年的僅2%大幅增加。這種對(duì)供應(yīng)商如何訪問其網(wǎng)絡(luò)的可見性有限，造成了一個(gè)巨大的盲點(diǎn)。這使得企業(yè)在應(yīng)對(duì)網(wǎng)絡(luò)攻擊時(shí)顯得束手無策，難以有效地防范和應(yīng)對(duì)。

除了缺乏監(jiān)督外，資源或預(yù)算不足也是降低第三方風(fēng)險(xiǎn)的主要障礙之一。41%的受訪者表示，他們面臨著資源或預(yù)算不足的問題。事實(shí)上，管理第三方權(quán)限可能非常繁重，并會(huì)給其內(nèi)部資源帶來壓力。企業(yè)平均每周需要花費(fèi)134小時(shí)在IT和安全團(tuán)隊(duì)上，分析和調(diào)查第三方訪問的安全性。這是一項(xiàng)耗時(shí)耗力的工作，需要企業(yè)投入大量的人力和物力。

然而，盡管面臨著諸多挑戰(zhàn)，但我們?nèi)匀挥袡C(jī)會(huì)直接解決這一問題。58%的受訪者認(rèn)為其應(yīng)對(duì)特權(quán)訪問風(fēng)險(xiǎn)的安全策略不一致或不存在。這既是一個(gè)問題，也是一個(gè)機(jī)遇。它意味著我們?cè)谔貦?quán)訪問管理方面還有很大的提升空間，可以通過制定更加一致和有效的安全策略來降低第三方訪問的風(fēng)險(xiǎn)。

綜上所述，企業(yè)在特權(quán)訪問方面，尤其是第三方訪問方面，仍然有大量的工作要做。無論是內(nèi)部用戶還是第三方，訪問安全都需要更加高效和有效。我們需要加強(qiáng)安全策略的制定和執(zhí)行，提高對(duì)網(wǎng)絡(luò)攻擊的防范和應(yīng)對(duì)能力，確保企業(yè)的數(shù)據(jù)安全和業(yè)務(wù)穩(wěn)定運(yùn)行。同時(shí)，我們還需要加強(qiáng)與合作伙伴的溝通和協(xié)作，共同構(gòu)建一個(gè)更加安全、可靠的第三方訪問環(huán)境。只有這樣，我們才能在這場(chǎng)沒有硝煙的網(wǎng)絡(luò)安全戰(zhàn)爭中取得勝利。