又来了。又是一家零售商,又是一起与第三方供应商有关的网络攻击。但这次的重点不是窃取客户信息,而是员工数据。奢侈品零售连锁店诺德斯特龙(Nordstrom)宣布,其员工信息可能在一次数据泄露事件中遭到泄露,其中可能包括员工的社会安全号、出生日期、支票账号、路由号码和其他个人身份信息(PII)。坏人知道,入侵没有足够安全预算的小型供应商,会为窃取大型企业的宝贵数据打开方便之门。
诺德斯特龙公司在一份官方声明中指出,漏洞的源头是一名合同工,他对员工数据的处理不当。虽然目前还不清楚这些信息是否被共享或恶意使用,但该公司明确表示,这名合同工 "已无法访问我们的系统,我们正在采取额外措施,以防止此类事件再次发生"。诺德斯特龙公司尚未披露受此次信息泄露事件影响的员工人数。
虽然 Nordstrom 的数据泄露事件有些特殊,因为被泄露的是员工信息而不是客户信息,但这是第三方供应商造成的数据泄露事件中的又一起。这些第三方泄露事件已经影响到 Target 和 Expedia 等公司,并引发了对第三方风险管理不同方法的讨论。
尽管第三方风险管理领域对不同风险缓解方法(如评估调查、持续监控和现场检查)的功效和负担存在一些分歧,但现实情况是,这些方法都是风险管理团队可用的单一工具,在供应商和客户关系的背景下,每种方法都有其特定的用途。
在 Nordstrom 外泄事件中,第三方承包商的参与凸显了多方面第三方风险计划的必要性。评估调查和全面的入职流程可以帮助公司降低人为威胁带来的风险,而持续监控则可以预防和减少网络威胁。
Prevalent 为其合作伙伴提供了预防和管理第三方风险的全套工具。Forrester 最近将 Prevalent 评为 The Forrester New Wave™ 的领导者:网络安全风险评级解决方案的领导者,并指出:"Prevalent 最适合那些需要一个具有综合网络风险评级功能的 TPRM 工具的公司。鉴于其强大的风险情报和全面的风险管理功能,Prevalent 是为所有网络 TPRM 活动寻求一种工具的安全和风险专业人士的一个值得选择的工具。
Prevalent 是业内唯一一个专门构建的统一平台,将自动评估、持续监控和证据共享等功能强大的功能集成在一起,促进企业与供应商之间的协作,为高效运作的第三方风险计划提供最佳解决方案。
Daryan Ver Ploeg 是 Prevalent 公司供应商威胁监控团队的开源情报分析师,常驻华盛顿特区。他毕业于马里兰大学学院帕克分校,获得政府与政治专业文学学士学位。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
