隨著業(yè)務流程變得越來越復雜，公司開始依賴第三方來提升其提供關(guān)鍵服務的能力，從云存儲到數(shù)據(jù)管理再到安全保障。雖然這樣做通常更高效且成本更低，但使用第三方服務也可能帶來重大——且往往是意想不到的——風險。

第三方可能成為入侵的門戶，如果服務出現(xiàn)故障，還可能損害公司的聲譽，暴露其在財務和法規(guī)方面的問題，并吸引來自全球的不良行為者的注意。與供應商管理不善的分手也可能危險，導致失去對第三方所建立的系統(tǒng)的訪問權(quán)限、失去數(shù)據(jù)的保管權(quán)或數(shù)據(jù)本身的丟失。

什么是第三方風險管理？

第三方風險管理（TPRM）是一種風險管理學科，涉及識別、評估和減輕使用外部方（如合作伙伴、供應商、承包商和服務提供商）相關(guān)的風險，這些第三方通常可以訪問企業(yè)的各種系統(tǒng)和數(shù)據(jù)，且常常作為企業(yè)關(guān)鍵業(yè)務操作的重要參與者。因此，第三方可能會增加你的網(wǎng)絡(luò)風險，因為他們可能遇到的任何安全問題都會對你的企業(yè)產(chǎn)生連鎖效應。

第三方風險管理也常被稱為供應商風險管理，提供了一個框架來識別所有能夠訪問企業(yè)系統(tǒng)、數(shù)據(jù)和設(shè)施的第三方，它還確保你的企業(yè)根據(jù)每個第三方可以訪問的內(nèi)容、其安全實踐以及其可能面臨的威脅來評估與之相關(guān)的風險。

為了減輕第三方風險，企業(yè)必須與其依賴的第三方合作，進行其安全實踐的評估和審計，還必須建立明確的合同協(xié)議，明確所有相關(guān)方的安全期望和責任。成功的第三方風險管理還需要持續(xù)的監(jiān)控和監(jiān)督，以確保第三方遵守已商定的措施，并制定事件響應和補救策略，以應對任何問題。

為什么第三方風險管理很重要？

對第三方服務的依賴正在增加，因此，企業(yè)發(fā)現(xiàn)自己越來越容易受到合作伙伴實體帶來的潛在安全問題的影響。

“企業(yè)越來越依賴第三方，如技術(shù)和云供應商，這些供應商存儲敏感數(shù)據(jù)或訪問關(guān)鍵系統(tǒng)，”Gartner分析師Luke Ellery表示，“如果第三方的網(wǎng)絡(luò)安全控制較差，這種風險會更高，還有風險是第三方自己的供應商被妥協(xié)，如果數(shù)據(jù)或系統(tǒng)被妥協(xié)，可能導致品牌和聲譽損害、法律和監(jiān)管罰款或處罰以及補救成本。”

使用第三方對于許多企業(yè)來說是廣泛接受的必要舉措，技術(shù)研究和咨詢公司ISG的高級總監(jiān)Hanne McBlain表示，但這些第三方需要進行持續(xù)管理。第三方合作伴隨著固有的業(yè)務風險，因為這將控制權(quán)的一部分移出了公司的墻外。Deltek的首席信息安全官Caleb Merriman表示，考慮到98%的全球企業(yè)在過去兩年中至少與一個曾遭遇過數(shù)據(jù)泄露的第三方供應商有聯(lián)系，這一問題顯得尤為緊迫。Deltek是一家為項目型企業(yè)提供軟件的供應商。

主要的第三方網(wǎng)絡(luò)安全風險

以下是第三方服務暴露給你的五大主要網(wǎng)絡(luò)安全風險：

因網(wǎng)絡(luò)攻擊導致的客戶和公司數(shù)據(jù)泄露

根據(jù)世界經(jīng)濟論壇的《2022年全球網(wǎng)絡(luò)安全前景》，通過第三方進行的間接網(wǎng)絡(luò)攻擊——即通過第三方成功入侵公司——在過去幾年中從44%增加到61%。IT和安全咨詢公司InferSight的首席信息安全官Peter Tran表示，這種情況發(fā)生的原因之一是許多公司沒有適當?shù)目刂拼胧﹣碛行У匦遁d第三方供應商。他說：“他們沒有相應的流程來控制這些賬戶的訪問管理權(quán)和配置，這為尋找仍然活躍的舊賬戶的網(wǎng)絡(luò)攻擊者留下了機會。”

從第三方數(shù)據(jù)泄露中獲取的數(shù)據(jù)可能被威脅行為者濫用，進行各種惡意活動，包括身份盜竊、欺詐、賬戶濫用和外部賬戶接管攻擊，MassMutual的首席信息安全官Ariel Weintraub表示。威脅行為者經(jīng)常使用從第三方甚至第四方泄露中獲取的受損憑證和數(shù)據(jù)，來訪問其他受害者的環(huán)境。

“第三方可能在托管公司的數(shù)據(jù)時受到攻擊，或者攻擊者首先攻擊第三方，然后利用這一點來進入你的IT系統(tǒng)，”MorganFranklin的網(wǎng)絡(luò)安全分析師Michael Orozco表示。他說，供應商生命周期內(nèi)的盡職調(diào)查和持續(xù)監(jiān)控漏洞將有助于降低這一風險。

實施深度防御策略以限制第三方訪問企業(yè)網(wǎng)絡(luò)對于防止對手獲取權(quán)限升級至關(guān)重要，Weintraub說。因此，公司必須在允許第三方訪問其系統(tǒng)之前，全面審查所有第三方供應商，以確保他們已實施適當?shù)陌踩珔f(xié)議?！暗谌娇偸巧婕暗轿覀兊臄?shù)據(jù)，這就是為什么我們不斷評估新的和現(xiàn)有的第三方，以與公司的網(wǎng)絡(luò)風險相稱的方式進行評估。”

事件成本和業(yè)務損失帶來的財務風險

Managed services公司GreenPages的首席信息安全官和首席信息官Jay Pasteris表示，入侵的成本可能非常高昂，如果公司沒有以正確的方式保護其系統(tǒng)，網(wǎng)絡(luò)安全保險并不總是涵蓋數(shù)據(jù)泄露。

“財務影響不僅是你的損失，你還會對企業(yè)的聲譽造成損害，”他說，“你會失去客戶，你會失去新客戶的信任，你失去了現(xiàn)有客戶的信任，因此，你失去了收入來源……而替換現(xiàn)有客戶需要花費大量金錢，所以這種財務影響會迅速累積?！?/p>

聲譽損害、客戶信任喪失

雖然數(shù)據(jù)泄露可能并未發(fā)生在公司的四墻之內(nèi)，但如果第三方服務涉及到客戶公司的數(shù)據(jù)或其客戶的數(shù)據(jù)泄露，該公司可能需要發(fā)表聲明或通知相關(guān)人員。Weintraub表示：“由于這種下游影響，聲譽影響可能遠遠超過財務損失?！?/p>

服務提供商的數(shù)據(jù)泄露帶來的負面宣傳可能損害公司的良好名聲或地位，而公眾對企業(yè)的不良看法可能始于第三方供應商名單中的問題。Orozco說，客戶對第三方提供的服務的投訴是潛在問題的良好指示?！翱蛻艨床坏侥愕慕M裝、產(chǎn)品、服務以及與你互動的能力是由第三方支持的，”他說，“他們只看到你的名字、你的品牌以及你無法滿足對他們的承諾?！?/p>

許多企業(yè)采取主動措施，以確保其第三方是有效的數(shù)據(jù)保管者，然而，當?shù)谌綆в凶约旱墓替湑r，事情就變得更加復雜，Weintraub表示?！半S著你繼續(xù)深入到你的供應商和你供應商的供應商，了解所有這些實體及其保護敏感數(shù)據(jù)的第三方風險計劃的成熟度可能會變得困難?！?/p>

地緣政治風險

McBlain表示，烏克蘭戰(zhàn)爭凸顯了企業(yè)密切關(guān)注政治動態(tài)并準備在動蕩局勢中采取行動的必要性。企業(yè)需要確保所有在受制裁司法管轄區(qū)的供應商、合作伙伴和合資企業(yè)活動已停止。

“然而，烏克蘭戰(zhàn)爭以及對俄羅斯和白俄羅斯的相關(guān)制裁并不是唯一需要考慮的地緣政治風險，”她說，“在政權(quán)不穩(wěn)定國家有業(yè)務的供應商，例如經(jīng)歷軍事政變、暴力起義和系統(tǒng)性壓迫少數(shù)族裔的國家，需要仔細和持續(xù)的監(jiān)控?！?/p>

政治動蕩通常伴隨著國家級網(wǎng)絡(luò)間諜活動的增加，企業(yè)需要確保其第三方供應商對其承包商進行徹底審查，確認其是否與從事此類行為的政府有聯(lián)系，Weintraub表示?！暗谌娇赡茉诓恢榈那闆r下雇用由國家派遣的自由職業(yè)IT遠程工作者，這些人可能是為該國專制政權(quán)創(chuàng)收或獲取公司網(wǎng)絡(luò)訪問權(quán)，”她說，“雖然他們在工作時可能不從事任何惡意網(wǎng)絡(luò)活動，但他們可能利用其特權(quán)訪問權(quán)限，從內(nèi)部推動惡意網(wǎng)絡(luò)入侵。這使得惡意活動的檢測變得困難?！?/p>

法規(guī)遵從性風險

當?shù)谌焦踢`反政府法律、行業(yè)法規(guī)或公司內(nèi)部流程時，也會使企業(yè)面臨合規(guī)性風險，供應商的不合規(guī)行為可能會使雇用他們的公司面臨巨額罰款。

例如，企業(yè)需要檢查其第三方供應商是否符合SOC2審計標準，SOC2旨在確保第三方保護其客戶的敏感數(shù)據(jù)不被未經(jīng)授權(quán)訪問。企業(yè)還必須確保第三方遵守隱私和安全法律，如歐盟的《通用數(shù)據(jù)保護條例》（GDPR）和加州的《隱私權(quán)法案》（CPRA）要求，他說。

“合規(guī)是一個巨大的風險，”Pasteris表示，“你可能已經(jīng)符合合規(guī)要求并且有必要的控制措施，但突然之間你增加了這些第三方，如果你沒有評估他們是否有控制措施，你可能會違反你的合規(guī)立場?！?/p>