为在法律行业提供更经济的第三方风险管理(TPRM)方案,Prevalent于2017年携手美国顶尖律所推出法律供应商网络(LVN)
。 该网络旨在让各类供应商——电子取证、人力资源、翻译服务等——仅需完成一次标准化安全控制评估,即可与LVN社区内所有律所成员共享评估结果。此举显著降低了律所评估关键服务供应商所需的成本与时间。
自推出以来,LVN通过共享评估标准信息收集(SIG)问卷持续收集供应商安全实践相关数据。本博客基于对344份随机抽取的完整问卷分析,总结出十大风险,并为律所如何降低这些风险提出建议。
十大法律供应商风险
通过分析随机抽样结果,我们了解到第三方在以下领域对律师事务所构成最大风险:
- 应用程序安全——应用程序中的数据处理——67%
- 访问控制 – 远程访问 – 65%
- 业务韧性——第三方服务是关键依赖项——64%
- 物理与环境安全——允许访客进入——62%
- 资产与信息管理——评分数据以电子形式存储——61%
- 应用程序安全 – 应用程序开发 – 61%
- 资产与信息管理——数据存储于数据库中——58%
- 服务器安全——数据存储在服务器上——57%
- 应用程序安全——通过网站处理数据——54%
- 应用程序安全 – 应用程序漏洞管理 – 52%
本博客的其余部分将重点探讨这十大风险中的三个常见类别:应用程序安全、资产与信息管理,以及数据的物理和逻辑访问等领域。
应用程序安全风险与补救措施
由于应用程序通常可在跨网络环境中使用并连接至云端,它们极易受到可能导致数据泄露的安全威胁。鉴于律师事务所负有保护客户数据的责任,应用程序安全受到如此严格审查也就不足为奇了。让我们来看看上述十大风险清单中提到的四项应用程序安全相关风险所揭示的问题。
我们对法律供应商网络的分析表明:
- 缺乏针对传输、处理或存储数据的应用程序的强有力的安全控制措施,会增加数据泄露和网络入侵的风险。
- 应用程序开发过程中缺乏安全控制措施,可能导致应用程序内部存在暴露点。
- 未向安全监控与响应团队通报已知未修复漏洞以供其知晓并监控,将导致潜在暴露风险。这主要源于软件开发生命周期(SDLC)中缺乏相应流程。
- 网站缺乏安全控制措施会导致数据和网络渗透点暴露无遗。
为应对应用程序安全风险,律师事务所应:
- 评估供应商应用程序、开发流程及网站现有的安全控制措施,并识别需要整改或提升成熟度的具体控制措施。
- 确认供应商漏洞是否通过其他部门(如风险管理部门)进行监控和追踪。若漏洞未被监控,则要求实施相关流程,确保漏洞的沟通、追踪、监控及修复工作得到落实。
- 评估相关文档,包括访问管理政策、网络拓扑图、网络渗透测试报告、事件响应政策、安全软件开发生命周期(SSDLC)、代码扫描(静态或动态)以及应用程序渗透测试报告。代码扫描和应用程序渗透测试报告应来自自动化工具集和/或外部公司。
对于关键和/或受限/机密数据的处理,律师事务所应考虑执行额外尽职调查,例如完成供应商安全成熟度评估(vBSIMM)审查。对于面向外部的应用程序,应使用Prevalent的供应商风险监控服务来识别诸如知识产权威胁、凭证泄露和域名抢注等问题。
资产与信息管理风险及补救措施
安全存储和管理数据是多项隐私与数据保护法规的核心要求,包括《通用数据保护条例》(GDPR)、《加州消费者隐私法案》(CCPA)等。与应用程序安全同等重要的是,律师事务所必须确保其供应商已建立充分保护客户数据的安全措施——否则将面临处罚。十大风险中有两项与信息管理相关,即缺乏强有力的数据保护协议可能导致数据泄露及监管处罚。
为应对资产与信息管理风险,律师事务所应:
- 评估数据存储所实施的安全控制措施。首先要求提供相关证据,例如加密策略、访问管理策略及网络拓扑图。
- 识别必须实施的具体监管要求和控制措施,并确保第三方已建立相应的控制机制。对于高风险第三方,可考虑要求其委托外部公司完成网络渗透测试报告,以实施额外的尽职调查。
主流法律供应商网络具备落实这些建议的能力。
访问控制、业务韧性、物理与环境安全;服务器安全风险及补救措施
法律供应商网络分析的这一类最终风险若未得到解决,将对数据访问产生重大影响。
- 物理与环境安全:缺乏强有力的协议来防止未经授权的物理设施访问,可能导致一系列安全漏洞,例如数据丢失、网络安全受损以及未经授权的访问。
- 服务器安全:缺乏强有力的协议来保护服务器访问和数据暴露,可能导致数据泄露。
- 业务韧性:对关键第三方服务提供商的依赖可能导致一系列潜在风险,例如无法提供产品或服务,以及数据泄露。
- 远程访问:若缺乏适当的控制措施且未实施监控,则可能暴露外部人员访问的风险。
为应对这些风险,律师事务所应:
- 评估现有访问控制措施的安全性——涵盖物理与逻辑层面的管控。首先要求提供相关证明文件,例如物理安全政策、访问管理政策,以及有关VPN使用和多因素认证控制措施的详细信息。确保政策包含访客记录、门禁卡、员工陪同制度、视频监控及限制区域门禁机制等具体条款。对于高风险第三方,可考虑要求其提交现场安全报告(如SOC2第二类报告)以加强尽职调查。
- 评估服务器周边及服务器访问的安全控制措施。要求提供加密政策、访问管理政策及网络拓扑图等证明文件。对于高风险第三方,应要求其委托外部公司完成网络渗透测试报告,以实施额外尽职调查。
- 要求提供与其业务连续性/弹性计划相关的证明材料。对于高风险第三方及/或贵公司对其存在关键依赖的第三方,应考虑实施额外尽职调查,例如开展针对性情景测试或红队演练,重点检验第三方关键服务的应急响应能力。确保所有第三方合同均包含服务可用性相关条款。
下一步工作
律师事务所对客户数据访问的网络安全和合规性要求极为严格。分析结果表明,律师事务所最关注的是供应商如何处理数据——无论是应用程序、资产,还是存储在服务器或物理空间中的数据。Prevalent法律供应商网络基于Prevalent第三方风险管理平台构建,从零开始设计以评估、管理和监控这些风险。 我们的统一平台融合了SIG评估与Prevalent供应商风险评估服务,代表律所收集并分析供应商数据。通过该模式,法律团队能够清晰掌握供应商的安全与合规实践,从而采取明智行动。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
