卡巴斯基禁令:第三方风险管理启示

遵循以下七个步骤,在您的第三方供应商和供货商生态系统中发现、分级处理并降低禁用软件的风险。

Mitratech 员工
Mitratech 员工 八月22,2024 7 分钟阅读
Decorative image

2024年6月,美国政府禁止在境内销售及更新网络安全公司卡巴斯基开发的软件。此项公告是基于2017年一项禁止政府机构使用卡巴斯基软件的法律。 美国并非唯一做出此决定的国家。英国、德国、意大利、荷兰等国政府也已禁止或大幅限制使用卡巴斯基软件。

尽管没有直接证据表明存在非法活动,但禁令源于对俄罗斯政府可能获取卡巴斯基网络及其客户数据的担忧。这些政府担心卡巴斯基用于保护计算机系统的访问权限会被利用来窃取敏感信息或植入恶意软件。俄罗斯入侵乌克兰的行径加剧了人们的忧虑——俄方可能利用对卡巴斯基系统的访问权限,对支持乌克兰的国家发动网络攻击。

鉴于这些禁令,相关国家的第三方供应商和供货商理应已与卡巴斯基软件断绝合作关系。但此举并无绝对保障,因此企业必须对供应商及供应链进行彻底调查,识别卡巴斯基软件的使用情况,以避免潜在的网络安全风险、法律纠纷及声誉损害。

鉴于这项新禁令,本文探讨了组织机构可采取的措施,以发现并监控其第三方供应商和供应链中存在的卡巴斯基软件实例,从而降低风险。

七步降低第三方供应商或供应链中禁用技术风险

请遵循以下七个步骤,在您的供应商生态系统中发现、分级处理并监控卡巴斯基软件的使用情况。这些步骤同样适用于任何其他被禁用的技术,但本文重点聚焦于卡巴斯基。

1. 建立所有第三方供应商的集中化清单

建立所有第三方供应商的集中化清单,能为供应商管理注入治理机制与流程规范,同时降低未受监控的供应商关系给IT运营带来风险的可能性。供应商清单应通过集中化平台(而非电子表格)进行管理,这样多个内部团队就能参与供应商管理,整个流程也能实现自动化,从而惠及所有相关方。

您可以通过电子表格模板或API连接现有采购/应付账款系统,将供应商信息导入第三方风险管理平台,从而建立集中化的供应商库存。企业内部各团队应能通过统一且可定制的录入表单及关联审批流程,快速填充关键供应商信息。该功能应通过电子邮件邀请向全体人员开放,无需任何培训或系统专业知识即可使用。

建立第三方供应商和供货商的中央库存系统,还具有创建统一供应商档案的附加优势。该档案包含关键属性,例如企业特征详情、财务数据、运营信息以及其他关于该公司的重要洞察。

2. 构建第三方地图以确定技术集中度风险

在资产清点过程中,收集供应商生态系统中部署的第四方技术,以基于特定技术使用情况识别贵组织与第三方之间的关联关系。此举有助于可视化企业内部的攻击路径,并采取主动缓解措施。您可通过定向评估或被动扫描实现此目标。

对于卡巴斯基而言,绘制出使用该现已被禁工具的供应商清单,将有助于您锁定需评估潜在恶意软件风险的供应商。应优先关注顶级供应商或业务关键型供应商,因为其运营中断可能对贵组织造成更严重的冲击。

3. 进行固有风险评估

在完成供应商集中管理并评估受影响技术现状后,应实施固有风险评分评估,以帮助您根据第三方带来的风险持续评估其合规性。计算固有风险评分的属性至少应包括:对敏感信息或系统的访问权限、监管与法律要求,以及地理位置。

4. 评估第三方业务韧性及连续性计划

主动与高风险供应商开展合作,采用符合行业标准的简明精准评估方案。评估结果将帮助您锁定所需整改措施,有效弥补潜在安全漏洞。优质解决方案应具备工作流自动化、审查分析、证据管理支持及内置建议功能,从而加速整改进程,迅速填补安全缺口。

5. 对存在风险的供应商和供货商进行持续监控,防范网络攻击

时刻警惕下一次攻击,意味着要捕捉即将发生的安全事件的征兆。必须持续监控犯罪论坛、洋葱网页、暗网特殊访问论坛、威胁情报源、泄露凭证粘贴网站、安全社区、代码仓库以及漏洞和黑客/入侵数据库。

您可以单独监控这些来源,也可以寻找将所有洞察整合到单一来源的解决方案,使所有风险集中化并可供企业全面掌握。将所有监控数据与评估结果关联,并集中存储于每个供应商的统一风险登记册中,从而简化风险审查、报告及响应流程。

6. 测试您的第三方事件响应计划

自动化事件响应是缩短第三方事件平均检测时间(MTTD)和平均响应时间(MTTR)的关键,这能降低事件对运营的影响。在持续完善事件响应计划的过程中:

  • 利用集中化的事件与事故管理问卷,缩短响应时间,并简化及标准化评估流程。
  • 实时追踪问卷填写进度,以降低潜在影响
  • 使供应商能够主动报告事件,以补充背景信息并加快响应速度
  • 使用工作流程规则触发自动运行程序,根据风险对业务的潜在影响采取行动
  • 向供应商发布问题整改指导,以将风险降至贵组织可接受的水平。

通过将第三方事件响应集中到单一的企业事件管理流程中,您的IT、安全、法律、隐私和合规团队能够有效协同工作,从而降低风险。

7. 执行供应商合同条款

务必在供应商合同中纳入可执行的条款,禁止使用禁用技术,并要求第三方证明其未使用相关技术。为简化流程并与第三方风险评估计划整合,应利用合同工作流功能实现从签约到解约的全生命周期自动化管理,同时寻求具备人工智能能力的解决方案,自动提取关键合同细节以实现集中化追踪与执行。

卡巴斯基禁令下TPRM的后续步骤

采用手动、被动的方式管理第三方风险只会增加业务中断、法律或合规处罚的风险。相反,请遵循本文所述的七个步骤,为未来可能出现的软件禁令做好更充分的准备。

主流第三方风险管理平台可通过以下方式提供帮助:

  • 集中管理供应商合同,自动化管理关键条款,并与风险评估流程原生集成。
  • 自动化管理供应商,并构建涵盖所有第三方、第四方及N方的关系图谱。
  • 为每位供应商提供一份综合档案,供所有利益相关方查阅。
  • 对供应商进行分类和分层,以准确归类并制定恰当的尽职调查方案。
  • 通过内置补救建议的750余份风险评估模板,依据数十个行业框架对供应商进行评估。
  • 持续监控网络安全、业务、声誉及财务风险,以验证评估应对措施的有效性。
  • 管理第三方事件响应流程。

若需了解Prevalent如何协助您在供应商生态系统中发现、分级处理并降低禁用软件风险,立即申请演示

编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。

授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。