SolarWinds供应链安全事件持续对全球Orion客户造成严重影响,这些客户仍在不断识别并缓解相关风险。鉴于该事件可能对企业运营造成破坏性影响,Prevalent在2020年12月事件首次曝光后,迅速向客户推出了免费的事件与安全事件管理评估服务。 本次调查旨在帮助客户深入了解其供应商生态中的风险状况,从而采取相应的补救措施。
从调查结果中我们获得的启示既令人鼓舞又发人深省。
SolarWinds安全漏洞事件对第三方的影响范围与程度
Prevalent向第三方风险网络中的供应商推出了免费的SolarWinds事件与事故管理评估服务。对这些评估的响应数据进行分析后,我们发现此次数据泄露事件的规模和影响范围均十分显著。在Prevalent网络供应商群体中,仅有极少数供应商将此次事件的影响程度评定为低至无影响。
- 漏洞规模:总体而言,Prevalent供应商风险网络中16%的供应商部署的Orion版本遭到了攻击者的入侵。
- 数据泄露的影响:5%的受评估第三方机构承认受到SolarWinds数据泄露事件的影响。其中34%认为对网络、运营或安全的影响程度较低;且没有第三方机构报告对服务交付造成重大影响。
SolarWinds数据泄露事件揭示的三大供应商风险
然而,更具揭示意义的是调查结果:超过三分之一的受影响方表示,他们缺乏客户通知机制和事件管理政策。
- 客户通知不足:40%的受影响方未建立正式流程来通知其客户。
- 有限事件管理政策:37%的受影响方在应对SolarWinds安全漏洞时,未制定任何书面记录的事件管理政策。
- 缓解工作进展缓慢:16%的受影响方仍在积极实施控制措施以缓解攻击影响,但仅有9%的受影响方未能完全实施针对SolarWinds攻击的缓解措施。
改进第三方风险管理应对SolarWinds等安全事件的建议
Prevalent公司免费提供的SolarWinds安全评估反馈数据清晰表明,此次数据泄露事件令大量企业措手不及,暴露了其在客户通知机制和事件管理能力方面的内部流程漏洞。
为应对这些风险,Prevalent建议组织采取以下措施:
- 制定客户沟通计划作为整体事件响应计划的一部分。该计划应具备可定制性,能适应贵公司的独特业务需求,并包含明确的步骤来通知相关方——从客户和第三方到公众。建立此类计划(包括启动该计划的触发机制)将有助于贵组织向关键利益相关方证明:贵方正全面掌控事件,并彻底调查其影响。
- 制定并执行业务连续性计划,其中应包含事件管理和升级处理指南。危机形态多样——从持续蔓延的疫情到SolarWinds这类安全事件。因此,建立灵活的业务连续性与事件响应计划,能彰显贵组织具有前瞻性思维,并为所有突发状况做好了周全准备。
- 实施先进的分层与风险评估机制,确保根据对业务至关重要的风险对核心供应商进行评估。建立合理的分层体系将加速识别高风险供应商并有效降低风险。
- 将定期评估(
) 与持续监控相结合,以验证评估结果,实现对供应商网络安全与声誉风险的近实时视图。这种视图使您能够在风险影响业务之前更自信地发现潜在威胁。
普瑞瓦特如何提供帮助
若您仍在评估SolarWinds安全事件对第三方供应商的影响,请立即联系Prevalent。通过我们的第三方风险管理解决方案及认证合作伙伴网络,我们已助力众多企业快速掌握风险态势——短短两周内即可覆盖数千家供应商的事件风险。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
