近年来,第三方网络安全风险已成为企业面临的严峻挑战。大规模的第三方数据泄露事件包括 SolarWinds、Kaseya、Mercedes 和 Okta。随着企业越来越多地采用云计算和外部 IT 基础设施,成功管理第三方网络风险的难度也成倍增加。每当公司与第三方共享数据或提供系统访问权限时,就会有相互依存的第四方和第N方可能也会访问这些数据。
第三方网络风险影响着每一个组织,小到无意中向客户分发勒索软件的 IT 服务提供商,大到因暖通空调供应商而遭受大规模数据泄露的企业组织。本文章将介绍企业如何在整个供应商风险生命周期内成功管理第三方网络风险。
什么是第三方网络风险?
第三方网络风险的定义是,组织因与供应商、供货商或其他业务伙伴合作而在 IT 基础设施和数据的保密性、完整性或可用性方面面临的潜在风险。第三方网络风险有多种形式,取决于第三方的角色。第三方网络风险的一些常见形式包括
第三方数据泄露: 第三方数据泄露已变得非常普遍。随着云服务、SaaS 应用程序使用以及第三方安全和 IT 承包商使用的增加,与数据泄露相关的风险也随之增加。近年来,万豪酒店、大众汽车和 Capital One 等机构都曾因使用第三方承包商、应用程序或 IT 基础设施而遭受过数据泄露。
合规问题: 众多合规要求涉及第三方网络风险。HIPAA、CMMC、GDPR、CCPA 等法规对企业如何共享数据或让第三方访问数据进行了直接控制。不了解并满足合规要求会给组织带来巨大的法律、监管和公共关系问题。
勒索软件和拒绝服务攻击: 勒索软件历来不被视为来自第三方的风险。但近年来,恶意行为者越来越多地针对数百甚至数千家公司使用的软件应用程序传播勒索软件。根据《2022 年Verizon 数据泄露调查报告》,勒索软件是该报告涵盖的第三方数据泄露事件中攻击者使用的最主要方法之一。第三方网络风险来自需要对 IT 基础设施进行特权访问的软件提供商,这一点不容忽视。
了解第三方网络风险中的剖析风险、固有风险和残余风险
首先,让我们快速回顾一下对理解和管理第三方网络风险至关重要的概念。第三方网络风险大致可分为三类,分别基于卖方或供应商的特点、他们为贵组织提供的服务以及贵组织与他们的关系所处的阶段。
剖析风险: 剖析风险来自公司信息、地理位置、行业和监管要求的组合。例如,位于政治动荡国家的第三方、通常成为网络攻击者攻击目标的第三方或受到严格监管的第三方将面临更高的剖析风险。此外,第三方的财务状况、健康状况和声誉也可纳入剖析风险,因为这些方面的不良记录可能预示着第三方无法履行合同承诺。
固有风险: 固有风险更具体到所提供的服务,被归类为第三方在应用控制措施之前给贵组织带来的风险。固有风险的计算方法包括:了解第三方对业务绩效和运营的关键性;其所在位置和相关法律或监管因素;对第四方或第 N 方的依赖程度;对运营或面向客户的流程的影响;以及与受保护数据或内部系统的交互。高度接触敏感数据和基础设施的组织比不接触敏感数据和基础设施的组织具有更高的固有风险。
残余风险: 残余风险是指实施强制控制措施后,第三方对组织构成的剩余风险。风险管理团队应仔细考虑并界定可接受与不可接受的残余风险或补偿控制水平。
在采购和选择过程中识别第三方网络风险
几乎所有与您有业务往来的供应商都会存在一定程度的第三方网络风险,即使是那些对 IT 基础设施或敏感数据的访问权限极低的供应商也不例外。然而,识别哪些供应商会使您的组织面临不必要的高网络风险,对于减少数据泄露或安全事故的发生至关重要。以下是一些需要询问潜在供应商的问题,尤其是那些具有高风险的供应商。
- 外部审计员或相关方是否已验证安全计划完全符合标准?
- 组织是否已经完全符合处理贵组织数据的适用法律要求?(例如,HIPAA、GDPR、CCPA)
- 组织是否曾因违反网络安全合规而被罚款?
- 组织对第四方或第 N 方的依赖程度如何?
- 组织是否有数据泄露或公开安全事件的历史?
- 组织所在的国家是否可能迫使他们违背合同义务披露敏感的企业数据?
在接收和入职过程中降低第三方网络风险
确定风险程度可接受的供应商只是一个开始。在合同的整个生命周期内,入职和上岗是识别风险和减少风险机会的关键阶段。
将网络安全写入合同
根据合规需求和风险概况,在与供应商签订的合同中纳入具体的数据存储和网络安全要求。标准化条款应涵盖供应商何时以及如何与其第三方(即您的第四方)共享数据。此外,还可考虑在 SLA 中添加有关加密标准、身份和访问管理以及数据保留的要求。
固有风险得分
固有风险评分对于充分管理第三方网络风险至关重要。如上所述,组织的固有风险是指在实施组织要求的特定控制措施之前所构成的风险。以下是一些可以用来加强固有风险评分方法的技巧:
不要采取 "一刀切 "的方法: 固有风险评分应以组织的风险概况为基础。应根据供应商可访问的数据和基础设施对其进行分级。如果不对供应商进行适当分级,就会浪费精力,将尽职调查的重点放在错误的供应商身上,而那些可能带来重大组织风险的供应商却没有得到足够的重视。
在对固有网络风险进行评分时考虑供应商所在地:位于特定地点的供应商可能部分归政府所有,或受政府的特定数据共享要求约束,这可能会取代供应商对贵组织的合同义务。在确定供应商构成的固有风险时,请仔细考虑供应商所在地和地区政治。
额外提示: 使用专门的第三方风险管理解决方案可以让您根据自定义标准对供应商进行分级。
确定第四方和第九方供应商
如果您要入驻的供应商因其数据和 IT 访问权限而具有较高的固有风险,则可能值得对其扩展供应链进行检查。尤其要注意那些在其 IT 基础设施上工作或可以访问其存储数据的组织。了解第四方和第 N 方的使用情况,有助于为您的整体供应商风险管理计划提供信息,并在整个合同生命周期内重点关注第三方监控方法。
评估和补救第三方网络安全风险
评估和修复来自第三方的网络安全风险,对于更广泛的 TPRM 计划至关重要。以下是您在评估和要求供应商采取补救措施时可以使用的一些提示:
将合规要求与供应商控制相匹配
如果您有 HIPAA、GDPR、NYDFS 或其他法规规定的义务,则必须确保供应商根据其处理的数据类型满足必要的控制要求。利用 Prevalent 等第三方风险管理软件,可以将供应商使用的网络安全框架与贵组织的合规要求自动映射,从而大大加快这一步骤。
不要害怕要求新的控制或外部审计
如果贵组织尚未请外部机构证明其符合知名的网络安全标准,请不要惧怕要求他们接受基于框架(或贵组织所属的合规要求)的审计。失去一份潜在合同总比事后发现他们对 HIPAA 合规性的自我认证夸大其词,导致贵组织承担违约责任要好得多。
了解与第四方和第 N 方数据共享有关的流程
根据供应商在接收和入职阶段的回答,您应该大致了解供应商正在使用哪些外部组织。在贵组织进行正式的供应商风险评估时,要求供应商提供与第三方共享数据或访问权限的具体政策和程序。如果他们没有正式的政策和程序,请要求他们制定。
定期评估和补救风险
风险不是一成不变的。在整个合同生命周期内,供应商对贵组织构成的网络风险可能会发生重大变化。范围扩张可能会导致供应商在赢得信任的同时承担更多工作,这也会让他们获得更多初始风险评估中没有考虑到的资源。随着与组织签订的合同不断变化,应定期重新评估供应商风险,以确保残余风险保持在可接受的范围内。
利用共享图书馆
为适应资源限制,许多组织(尤其是那些有可靠供应商分层计划的组织)选择利用已提交并在行业交流中共享的完整内容。这些供应商交流会是自我实现的预言--参与的供应商越多,与其他企业的重叠就越大。这加快了风险识别和缓解流程,并最大限度地减少了收集数据所需的时间。
持续监控第三方网络风险
即使您定期进行风险评估以监控第三方风险,供应商风险状况的快速变化也会让您疏忽大意。持续监控承包商网络安全状况的变化对于有效管理第三方网络风险至关重要。下面简要列出了在整个供应商生命周期中值得监控的来源,以确保您不会错过重大安全事件。
暗网论坛
当以大型组织为目标时,恶意行为者通常会在只有使用 TOR 网络的授权用户才能访问的论坛上协调和策划攻击。监控暗网论坛中提及第三方和第四方供应商的内容,可以让您快速识别针对第三方正在实施或已经实施的潜在网络攻击。
暗网市场
暗网市场(如 Genesis Market)出售包含浏览器指纹的僵尸网络,恶意行为者可利用这些指纹绕过 2FA 和其他控制。监控这些市场可以快速识别是否有第三方访问权限出售,提醒您注意正在发生的潜在数据泄露事件。此外,恶意行为者经常在暗网市场上出售账户访问权限和被盗凭证。然后,其他恶意行为者可以利用这些信息进行账户接管和网络钓鱼攻击。监控这些市场可以帮助您更好地了解供应商的网络风险。要问的一些问题
- 与供应商或其解决方案相关的证书是否在暗网上出售?
- 是否有任何僵尸网络出售,其中包含的子域可以表明受害者是供应商的员工?
- 供应商是否已经确定了要出售的凭证,或者他们的外部风险态势在很大程度上不为他们所知?
粘贴区和 Clearweb 站点
并非所有数据泄露和被盗账户都在暗网上。在许多情况下,员工会不小心泄露第三方数据,这些数据会出现在 Pastebin 和其他公共论坛上。为了应对这些挑战,恶意行为者还会在公共论坛上发布包含数千个凭据的文件。监控 Pastebin 和其他公共论坛是否存在专有信息、被盗第三方凭据和其他敏感数据,是进行持续第三方监控的关键部分。
漏洞数据库
漏洞数据库(如MITRE CVE数据库)可帮助贵组织识别第三方供应商开发或使用的软件中存在的漏洞。利用第三方风险管理软件可以自动识别存在潜在漏洞的第三方和第四方软件供应商。
数据泄露数据库
第三方网络风险监控的另一个重要部分是在数据泄露报告数据库中搜索供应商,如隐私权信息交换中心和加利福尼亚州的数据库。即使是范围有限的数据泄露,也应促使您评估与第三方共享的任何数据的风险。它还可能要求对适用的合规监管要求进行审查。
监控过程自动化
第三方风险监控软件有助于自动识别和量化供应商网络风险。例如,我们的风险监控解决方案可通过监控 1,500 多个犯罪论坛、数千个洋葱页面、80 多个暗网特殊访问论坛、65 多个威胁源和 50 多个泄漏凭证的粘贴网站,以及多个安全社区、代码库和漏洞数据库,揭示 550,000 家公司的第三方网络事件。
第三方网络风险与服务水平协议
成功管理跨部门和供应商的SLA对于有效管理第三方网络风险至关重要。需要定期对供应商进行评估,以确保符合合规要求,并且不会因范围扩大而产生额外的合规负担。以下是第三方网络风险管理在管理 SLA 时需要考虑的几个关键因素。
尽可能实现自动化
手动审查涉及数十个部门和数千个供应商的数百份合同至少具有挑战性。使用第三方风险管理软件,可以通过内置的工作流程和补救措施实现 SLA 管理关键要素的自动化。
将网络安全写入服务级别协议
确保将良好的网络实践写入服务级别协议。围绕数据处理、承包商安全要求、人员背景调查和其他条款的具体考虑有助于确保第三方在提供服务时使用有效的降低风险技术。
离职、终止合同和降低第三方网络风险
并非所有数据泄露都发生在合同期间。离职和终止是降低第三方网络风险的最后一个关键阶段。许多组织在离职方面不够成熟,最终导致供应商无法访问关键数据、账户和 IT 基础设施。以下是供应商离职时应采用的几种最佳做法。
关注合规性
确保遵守适用的法律法规是成功完成供应商离岸的关键。评估贵组织的合规性要求,确保供应商入职、数据删除和验证均按照适用的法律法规执行。
第三方风险管理平台将内置与这些监管义务相一致的报告,这可以简化合规流程。许多组织都认为合同结束后数据就已销毁。请花时间手动验证供应商掌握的所有敏感、专有和受监管数据是否已销毁。
验证访问权限已被撤销
跟进供应商访问情况,尤其是跨多个部门的供应商访问情况,可能很困难。但是,您必须花时间手动检查每个部门,并确保供应商已在整个组织内全面、成功地退出。让供应商访问 IT 基础设施、账户或敏感信息,可能会让您在数月甚至数年后面临数据泄露或合规违规的风险。
不要忘记有形基础设施
许多组织理所当然地将重点放在确保供应商无法再访问云服务器、数据库和 SaaS 应用程序上。但同样重要的是,不能忽视 IT 基础设施和资产的实体安全。如果不撤销凭证或通知安全团队供应商即将离职,就会造成安全漏洞,一旦第三方供应商的员工采取恶意行为,就有可能造成安全漏洞。
在整个供应商风险生命周期中管理第三方网络安全风险
在整个供应商风险生命周期内,成功地将第三方网络安全风险降低到可接受的水平是一件非常困难的事情。随着新漏洞的出现和攻击技术的不断发展,第三方数据泄露事件不断增加。最近发生的事件,如乌克兰战争和地缘政治的不稳定加剧了这些风险。
利用第三方风险管理解决方案可以大大减少成功降低第三方 IT 访问风险所需的工作量。Prevalent 第三方风险管理平台可使管理供应商生命周期变得更加容易。请阅读我们的最佳实践指南《供应商风险生命周期导航》,了解我们的方法:每个阶段的成功关键》,或立即申请演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
