2016年5月，Soha第三方咨詢(xún)小組對(duì)200多名企業(yè)IT和安全高管、董事、經(jīng)理進(jìn)行了調(diào)查，意圖找出由于第三方訪問(wèn)而導(dǎo)致的IT風(fēng)險(xiǎn)和日常挑戰(zhàn)。結(jié)果表明，98%的受訪者不認(rèn)為第三方訪問(wèn)是IT項(xiàng)目和預(yù)算分配的第一要?jiǎng)?wù)。

[[173535]]

絕大多數(shù)受訪者承認(rèn)，提供第三方訪問(wèn)是個(gè)復(fù)雜而又繁瑣的過(guò)程。為應(yīng)用開(kāi)辟安全第三方訪問(wèn)通道的復(fù)雜程度，直接導(dǎo)致IT部門(mén)平均要處理4.6個(gè)設(shè)備，比如VPN、防火墻、目錄等等。從安全角度看，這已經(jīng)構(gòu)成了問(wèn)題。有研究揭示，63%的數(shù)據(jù)泄露是由第三方造成，或與第三方有關(guān)。第三方廠商應(yīng)該僅僅對(duì)支持業(yè)務(wù)必需的應(yīng)用擁有訪問(wèn)權(quán)，再多就不能給了。

基于調(diào)查結(jié)果，這個(gè)由安全專(zhuān)家、分析師和業(yè)界大拿組成的咨詢(xún)小組被問(wèn)到了第三方訪問(wèn)安全趨勢(shì)問(wèn)題，比如IT從業(yè)者應(yīng)該怎樣保障自身網(wǎng)絡(luò)安全，以及確保第三方訪問(wèn)安全。

當(dāng)前最主要的安全第三方訪問(wèn)趨勢(shì)

當(dāng)下兩大第三方訪問(wèn)趨勢(shì)與不斷延伸的職場(chǎng)和越來(lái)越多的監(jiān)管要求有關(guān)。職場(chǎng)的延展帶來(lái)了外包比重的增加。隨著外包逐年增長(zhǎng)，它呈現(xiàn)的問(wèn)題——尤其是當(dāng)今越來(lái)越多的安全威脅，給訪問(wèn)需求和供應(yīng)引入了一層新的復(fù)雜性和挑戰(zhàn)。

市場(chǎng)對(duì)許多IT驅(qū)動(dòng)領(lǐng)域公司的需求，嚴(yán)重依賴(lài)于B2B(企業(yè)對(duì)企業(yè)的電子商務(wù)模式)訪問(wèn)，不僅后端訪問(wèn)需要，對(duì)應(yīng)用的直接訪問(wèn)也需要。云功能及其實(shí)現(xiàn)導(dǎo)致了這些市場(chǎng)需求的指數(shù)級(jí)增長(zhǎng)。

對(duì)托管敏感數(shù)據(jù)(比如：與金融相關(guān)的個(gè)人身份識(shí)別信息，或健康信息)的公司企業(yè)的監(jiān)管要求也在增長(zhǎng)。全球政府都在增加涉消費(fèi)者信息處理或存儲(chǔ)的安全要求。

而今天最常見(jiàn)的訪問(wèn)改善則存在于多因子身份驗(yàn)證和策略領(lǐng)域，但最大的趨勢(shì)，還是與企業(yè)怎樣評(píng)估所有第三方的安全品質(zhì)和表現(xiàn)有關(guān)。特別是，通過(guò)評(píng)估第三方管理其自身安全的能力，合作伙伴也就能更好地評(píng)估與允許訪問(wèn)相關(guān)聯(lián)的風(fēng)險(xiǎn)了。

而從供應(yīng)鏈合作伙伴的角度出發(fā)，很多企業(yè)如今已開(kāi)始要求第三方安全合規(guī)。企業(yè)正部署能提供供應(yīng)鏈合作伙伴安全態(tài)勢(shì)評(píng)估的解決方案。這些信息被用于評(píng)估廠商風(fēng)險(xiǎn)，觸發(fā)訪問(wèn)決策。

安全第三方訪問(wèn)態(tài)勢(shì)需安全從業(yè)人員關(guān)注

由于其多樣性，第三方訪問(wèn)非常復(fù)雜。因此，只在絕對(duì)必要的時(shí)候，第三方才會(huì)被優(yōu)先考慮。

企業(yè)經(jīng)常尋求通用解決方案。畢竟，第三方訪問(wèn)范圍之廣，可從幾乎相當(dāng)于雇員的合資伙伴，到警報(bào)監(jiān)控或僅偶爾連接一下的空調(diào)訪問(wèn)提供商。

而且，IT和安全從業(yè)者也做不到準(zhǔn)確有效的溝通，或者不知道涉第三方數(shù)據(jù)泄露會(huì)帶來(lái)的損失或風(fēng)險(xiǎn)。波耐蒙研究所《2015數(shù)據(jù)泄露損失研究全球分析》表明，企業(yè)內(nèi)被泄露數(shù)據(jù)每條記錄的損失是217美元。而當(dāng)有第三方涉入，該損失會(huì)上升至233美元每條。

了解并能夠量化損失，可幫助企業(yè)獲得更多預(yù)算以解決第三方訪問(wèn)之類(lèi)的問(wèn)題。也應(yīng)該明白，任何安全項(xiàng)目中一直以來(lái)都是最脆弱一環(huán)的口令，依然是訪問(wèn)控制的最主要方式。盡管有多因子身份驗(yàn)證系統(tǒng)可用，很多公司卻因?yàn)橘M(fèi)用、復(fù)雜性和接受難度等問(wèn)題而并沒(méi)有部署實(shí)現(xiàn)。

這一困難讓IT團(tuán)隊(duì)只能轉(zhuǎn)向更簡(jiǎn)單的方法，比如給第三方廠商提供與本公司雇員同等級(jí)的訪問(wèn)權(quán)限等。雖然這種方法方式確實(shí)遵從了公司內(nèi)部IT資源規(guī)程，但也給公司帶來(lái)了更大的未知的風(fēng)險(xiǎn)。

不過(guò)，第三方問(wèn)題也可歸結(jié)到企業(yè)責(zé)任上來(lái)。廠商風(fēng)險(xiǎn)管理團(tuán)隊(duì)依靠IT團(tuán)隊(duì)來(lái)建議第三方訪問(wèn)解決方案，而一套易用的解決方案顯然會(huì)獲得更大的采用可能。另外，解決方案提供商需要對(duì)用戶(hù)體驗(yàn)多加注意，也要理解IT資源限制會(huì)給企業(yè)帶來(lái)不同的操作優(yōu)先級(jí)。

企業(yè)應(yīng)怎樣應(yīng)對(duì)安全第三方訪問(wèn)

資產(chǎn)清單是經(jīng)常被遺忘而又超級(jí)有用的安全挑戰(zhàn)及訪問(wèn)情況概覽工具。持續(xù)補(bǔ)充完善資產(chǎn)清單并進(jìn)行跟蹤，可以有效降低聯(lián)網(wǎng)資產(chǎn)不合規(guī)的風(fēng)險(xiǎn)。

確保第三方訪問(wèn)安全依賴(lài)于用例。外部承包商、雇員和B2B實(shí)體應(yīng)采用符合他們風(fēng)險(xiǎn)狀況的訪問(wèn)控制，包括：隔離、加密、聯(lián)合集成。

很多企業(yè)現(xiàn)在已經(jīng)著手實(shí)現(xiàn)對(duì)第三方廠商的安全策略了，比如：定義風(fēng)險(xiǎn)度量標(biāo)準(zhǔn)以客觀評(píng)估風(fēng)險(xiǎn)，設(shè)置固有風(fēng)險(xiǎn)(IR)計(jì)劃以解決合規(guī)偏差和風(fēng)險(xiǎn)，打造整個(gè)企業(yè)范圍的端到端安全和風(fēng)險(xiǎn)視圖。