《福布斯》雜志日前發(fā)布了一篇關(guān)于美國最安全的網(wǎng)絡(luò)公司的報告，表明網(wǎng)絡(luò)安全對于企業(yè)來說日益重要。

第一部分：在網(wǎng)絡(luò)安全方面最安全的公司有哪些?

報告列出了在網(wǎng)絡(luò)安全方面最安全的全球公司，以下是入選名單：

頂級公司：谷歌、蘋果、微軟、亞馬遜

第二梯隊：美國銀行、高盛、富達、CapitalOne、Meta、LinkedIn、美國聯(lián)合航空公司、Akamai、Cloudflare、Fastly

這份清單并不全面。這也讓安全行業(yè)專家考慮還有哪些公司，其評估的標準是，“擁有大量的數(shù)據(jù)，或大規(guī)模的系統(tǒng)控制，并能保護這些數(shù)據(jù)安全。”

第二部分：第三方風險管理的問題

《福布斯》雜志將美國聯(lián)合航空公司和富達公司列入前20名。安全行業(yè)專家推薦的其他金融服務(wù)公司大多在前100名，但沒有一家基礎(chǔ)設(shè)施公司上榜。有趣的是，這份報告認同這一觀點，即美國聯(lián)合航空公司在業(yè)內(nèi)遙遙領(lǐng)先。美聯(lián)航的首席信息安全官Deneen DeFiore在網(wǎng)絡(luò)安全方面的工作一定很出色。

這份榜單由第三方風險管理(TPRM)行業(yè)的旗艦公司之一SecurityScorecard公司提供。第三方風險管理公司面臨的挑戰(zhàn)是：為與其他企業(yè)有業(yè)務(wù)往來的企業(yè)提供一種機制，從網(wǎng)絡(luò)安全的角度來評估供應(yīng)商給他們帶來的風險。SecurityScorecard公司和它的主要競爭對手BitSight公司使用了類似的方法：創(chuàng)建風險評分(有點像信用評分)，評估企業(yè)，然后給它們打分。

這聽起來很簡單，對吧? 但并不是這么簡單。

想象一下，如果信用報告機構(gòu)決定開始使用信用評分算法來評估大型企業(yè)的網(wǎng)絡(luò)安全性。他們當然會看起來很糟糕!想想谷歌公司的邊界(所有公開可見的IP地址)與英特爾公司(在福布斯榜單上排名第一)的規(guī)模。英特爾公司是全球主要的芯片制造商，安全專家希望這些公司的外部足跡很小，但并不知道他們的網(wǎng)絡(luò)安全實踐，希望他們不要把重點放在網(wǎng)站安全(這對他們的評級有影響)上，而是放在他們的產(chǎn)品和制造安全(這對他們的評級沒有影響)上。

另一方面，谷歌公司作為互聯(lián)網(wǎng)主要公司之一，他們的可尋址IP空間是世界上最大的IP空間之一，所以從外部看，他們的網(wǎng)絡(luò)安全態(tài)勢當然看起來很糟糕，特別是如果衡量標準之一是攻擊面的大小。

無論好壞，信用報告機構(gòu)比TPRM評分機構(gòu)擁有更多的數(shù)據(jù)。它們根植于金融系統(tǒng)，收集了很多不應(yīng)該公開的信息。另一方面，TPRM評分機構(gòu)做的是類似于駕車評估的工作。他們在互聯(lián)網(wǎng)上看企業(yè)的外部安全，并根據(jù)企業(yè)形象來決定他們的信譽。當然，某些業(yè)務(wù)類型看起來比其他業(yè)務(wù)更安全。

遺憾的是，TPRM評分的替代方案是TPRM問卷調(diào)查行業(yè)，它的幫助微乎其微。這是一個專注于向供應(yīng)商發(fā)送大量調(diào)查問卷的行業(yè)，收集這些問卷需要付出巨大的努力。然后，專門的團隊會審查答案，尋找任何看起來是否定的答案來跟進(所有成熟的供應(yīng)商現(xiàn)在都知道永遠不要對任何問題說“不”)。現(xiàn)在該行業(yè)都專注于簡化這些問卷的填寫。

TPRM評分問題尚未得到解決。企業(yè)確實需要了解他們從供應(yīng)商那里繼承的實際風險，包括內(nèi)在風險(供應(yīng)商給企業(yè)帶來的風險)和使用風險(使用供應(yīng)商的方式造成的風險)。不幸的是，無論是評分還是問卷調(diào)查都無法解決這個問題。