在当今快速演变的威胁环境中,数据驱动的方法已成为有效第三方风险管理策略的核心要求。毕竟,执行第三方风险评估、收集文件证据以及监控现实事件所产生的海量数据,其规模、速度和多样性都极具挑战性。数据驱动方法能够实现规模化管理,并为应对当今复杂的威胁环境提供有力支持。
从交易对手风险管理(TPRM)的角度来看,数据驱动的方法不仅使组织能够突破单点评估的局限,实现对威胁的实时检测与缓解,更能为TPRM专业人员提供必要的洞察力,从而预判并主动应对新出现的风险。
为阐明数据驱动方法在第三方风险管理中的价值,本文以虚构企业FakeCo为例,探讨其应对第三方勒索软件攻击的风险防范策略。我们将首先梳理FakeCo现有的风险管理工具,继而阐述如何整合这些工具的洞察力,从而提升企业对勒索软件攻击的预测能力。
第三方风险管理工具与数据
FakeCo已实施多项功能,用于评估第三方在勒索软件方面的控制措施合规性。
持续监测
该公司已启用网络监控/评分系统,持续监测面向互联网的数字资产及暗网中涉及第三方相关活动。
- 外部漏洞扫描不仅能识别关键风险点,还能揭示企业对其内部基础设施所采取的安全防护措施的实际水平。
- 暗网扫描旨在搜寻暗网网站上出售的员工密码、黑客关于第三方组织的讨论等信息。这些发现往往是系统遭入侵的信号或迹象。
- 流量分析用于确定某个IP地址是否正在托管命令与控制活动,或资产是否正在与已知的命令与控制服务器进行通信。
内部控制评估
外部扫描可显示面向互联网的资产是否配置妥当且已打补丁,但往往忽略勒索软件最常见的攻击途径:内部培训不足及安全政策执行不力。为获得更全面的视图,FakeCo收集更多关于人员和流程的信息,向第三方提出诸如:
- 您的电子邮件系统是否配备了反恶意软件?
- 您是否对用户进行勒索软件培训,以防止他们点击安装按钮?如果是,培训频率如何?能否提供具体示例?
- 员工是否接受过关于网络钓鱼及相关欺骗攻击手段的培训?
- 您的用户是否在工作站上拥有管理员权限,从而更容易实现勒索软件有效载荷的投放?
- 贵组织是否实施了网络分段策略或特权访问管理工具,以在攻击者成功入侵后消除或限制其横向移动?
FakeCo深知,要全面掌握勒索软件的风险暴露情况,公司还必须执行年度安全评估,通过测试可用于最小化或缓解勒索软件攻击的具体控制措施。
基于数据驱动的第三方风险管理实践
通过将所有评估(及支持证据)与持续监控事件整合为单一第三方风险档案,FakeCo现可对数据进行综合分析。然而,实现分析自动化至关重要。为此,FakeCo应建立规则机制,持续监控由评估及/或监控活动所生成并关联具体情境的活跃风险。
例如,下表概述了针对勒索软件威胁的聚合规则集。该规则使组织能够持续监控活跃风险,这些风险是通过评估和/或监控活动自动生成并结合具体情境而形成的。
| 评估控制 | 对应监测遥测 |
|---|---|
| * 员工网络安全培训与意识不足 * 访问敏感系统和数据时缺乏多因素认证(MFA) * 补丁管理措施不完善,使系统易受已知漏洞攻击 * 安全软件和防火墙配置不当或过时 * 缺乏完善的数据备份与恢复流程 * 未定期更新维护防病毒及反恶意软件解决方案 * 依赖老旧系统或已停用的软件版本 * 访问控制失效,允许未经授权用户进入关键系统 * 密码策略薄弱且跨账户重复使用密码 * 缺乏网络分段机制隔离关键资产免受潜在威胁 * 事件响应规划与准备措施不足 * 未定期执行安全评估与审计以识别漏洞 * 系统及网络活动监控与日志记录不足,难以检测潜在勒索软件攻击 | * 经证实的网络入侵事件 * 公共领域记录曝光量增加 * 黑暗网络/黑客讨论 * 泄露凭证 * 域名抢注 |
该规则用于识别相关风险及/或集中型风险,需对其进行审查以最大限度降低、预测或缓解勒索软件活动的成功率。此类聚合分析可将海量数据归纳为更小、更易管理的数据集。组织无需单独审查每个风险和事件,而是可以整体审视与勒索软件相关的风险及活动,并据此设定风险容忍阈值。
通过运用数据分析、机器学习和人工智能的力量,FakeCo的规则引擎能够比传统基于规则的系统更高效地识别模式、异常及潜在漏洞。 在此场景中,规则引擎持续发现、关联化并监控这些风险。当触发勒索软件防范阈值时,系统将立即启动响应措施,包括发送相应通知、启动响应工作流或调整关联风险评分。同时自动关联风险指标,清晰展示各供应商的防护状态与易受攻击程度。
优秀的第三方风险管理解决方案将提供一套常见响应工作流库,可根据组织的具体需求启动相应流程。详见下例。
统一数据驱动方法在第三方风险管理中的优势
通过集中监控、关联分析来自多源的遥测数据,企业能够更有效地检测安全威胁、异常活动或合规违规行为,从而提升整体安全态势。以下是采用数据驱动的TPRM方法可预期的优势及应关注的核心能力:
通过单一平台提升决策效率
通过整合并筛选所有TPRM数据源,决策者可获取来自整个运营体系的实时或近实时数据。这使他们能够基于对全局状况的全面理解,及时做出明智决策。 寻求能够提供统一控制台的解决方案,以便系统业务用户查看特定风险领域相关的所有数据点、事件及活动。这些事件可建立关联,并触发对应规则与工作流,当事件同时发生时,系统将放大预警信号。
基于人工智能的预测分析
数据驱动的架构为第三方风险管理中的人工智能赋能奠定基础,通过确保高质量、多样化且海量的数据可用性,这些数据是训练高效人工智能模型的必要条件。借助全面的数据集,人工智能算法能够更精准地评估风险、识别模式并做出明智决策,从而形成更有效的风险缓解策略并优化决策流程。
寻找能够提供跨评估、数百万事件和数千文档的聚合遥测数据的解决方案。这些数据可用于训练人工智能系统的预测模型。通过分析来自多个来源的历史数据,人工智能算法能够识别模式并预测未来事件或趋势。这种能力对于主动决策和风险管理具有不可估量的价值,可助力将传统风险管理计划(TPRM)转型为人工智能驱动的风险管理。
安全与风险管理有效性
聚合的TPRM遥测数据在网络安全与风险管理中发挥着关键作用。通过监测和分析多源数据,组织能够更有效地检测安全威胁、异常活动或合规违规行为,从而提升整体安全态势。例如,系统可从评估数据中识别控制域的漏洞,并预测下游事件及其影响。
可扩展性和灵活性
聚合遥测分析为处理TPRM多样化数据源的大量数据提供了可扩展性和灵活性。通过采用统一的数据聚合与分析方法,企业能够扩展其分析基础设施以适应不断增长的数据量和多样化的数据类型。这种可扩展性确保企业能够从广泛的遥测数据源中获取洞察,适应不断变化的业务需求,并支持人工智能与分析领域的创新举措。
采取统一方法管理第三方风险
采用数据驱动的方法有助于实现持续监控和自适应防御,使您的组织能够领先于不断创新战术的复杂对手。本质上,在当今动态的网络安全环境中,利用数据驱动的洞察力对于增强韧性、提升威胁情报和保护数字资产至关重要。从勒索软件的角度来看,这包括在多个层面应对风险和漏洞,需要同时开展评估和监控活动。
如需了解Prevalent如何运用人工智能与分析技术进行聚合式第三方风险遥测分析,请立即申请演示。
编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
