庞诺蒙研究所与共享评估机构联合发布了第三届年度第三方物联网风险研究报告。该研究深入剖析了企业在第三方风险管理成熟度方面的现状,尤其关注其管理方案如何应对物联网设备数量激增带来的相应风险。建议您下载完整报告以获取详细内容。
这份报告中有几项内容令我印象深刻,在此列举如下:尽管企业普遍意识到物联网风险,但多数组织采取的防护措施仍显不足。我将探讨一些可行的应对措施,帮助您弥补认知盲区。
相关发现摘要*
我不会详述报告中的所有发现,最好由您亲自审阅。我只想在此重点指出关于物联网风险的部分数据和结论,以及您如何从今天开始着手应对这些风险。
- 已有实例表明,第三方未受保护的物联网设备会引发数据泄露事件。事实上,根据研究显示,18%的企业曾遭遇此类数据泄露。
- 此外,82%参与调查的企业表示,未来24个月内很可能发生因第三方未受保护的物联网设备引发的数据泄露事件。
- 尽管报告指出68%的受访者认为物联网的兴起导致第三方风险日益加剧,但许多企业的风险管理实践尚未成熟——或者说尚未成熟到足以应对这种增长的程度。
- 事实上,不到三分之一的组织在监控其第三方对物联网的使用情况。
- 为什么?除其他原因外,主要在于无法确定第三方保障措施和物联网安全政策是否足以防止数据泄露(55%的受访者提及),以及因第三方数量众多导致难以管理物联网平台的复杂性。
该研究进一步指出,第三方风险计划与政策的审查主要属于被动或临时性质——39%的受访者表示审查每两年进行一次,或不定期开展,或仅在第三方发生安全事件时才启动(占受访者的18%)。
关键在于:只有发生安全漏洞后,第三方风险政策和计划才会被重新审视。
就像把前门敞开着任人进出。
对于第三方风险的监控与应对若采取被动且不一致的做法,已屡屡证明无法满足当今企业的敏捷需求。当涉及物联网设备时,若不对第三方供应商的使用方式进行监控,无异于将网络钥匙随意交给任何索要之人!
为关闭并保护贵机构前门的出入通道,请考虑采取以下四个步骤:
1. 对第三方在物联网设备使用方面的合规性进行深入的基于控制措施的评估。多个控制框架(如ISO、NIST等)提供了控制措施及子控制措施相关问题,可结合SIG(安全信息组)协助评估现有人员、流程和技术措施的实施情况。需重点关注的具体问题包括:
- 物联网员工教育与培训
- 保持网络分段
- 管理嵌入式设备凭证
- 控制管理特权
- 加密
- 设备发现
- 漏洞与补丁管理
2. 在等待评估结果期间,请对第三方合作伙伴的外部网络进行监控。此项扫描将有助于在深度控制评估之间,揭示潜在的配置风险(如SSL、DNS、应用安全)及基于威胁事件的风险(如数据泄露、IP威胁、网络钓鱼事件等)。 结合此项扫描结果与上述步骤1评估所得,您将全面掌握风险态势,从而更主动地降低物联网风险。
3. 通过报告和仪表盘向董事会及高层管理团队阐明第三方对业务构成的风险。正如上周关于第三方风险管理成熟度的博客所述,关键在于把握具体情境。
4. 基于物联网制定具体的风险分类与规则。建立新的全面风险管理(TPRM)计划或完善现有计划,需遵循行业最佳实践,这绝非易事。通过确立全面TPRM计划的核心要素基准,可确保目标定义清晰、里程碑切实可行、流程有据可依,从而减少被动应对的情况。
下一步工作
通过采取上述提到的快速措施,您可以更清晰地掌握合作伙伴的物联网设备和战略对自身组织的影响,并增强管控能力。如需了解第三方风险管理的最佳实践,请立即联系我们进行战略研讨。
*所有数据均直接取自Ponemon/Santa Fe Group报告,未经任何修改。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
