全面的第三方风险管理(TPRM)计划将对内部供应商控制措施的周期性由内而外评估,与对其外部威胁的持续由外而内监控相结合。通过将供应商评估结果与持续的外界情报流相补充,您将更全面地了解每个供应商对您业务的潜在风险。
在将监控机制纳入第三方风险管理计划时,务必充分利用既广泛又深入的供应商情报来源。本文将通过阐述持续监控的应用场景,揭示第三方风险情报的关键来源,助您开启实践之旅,同时分享成功实施的最佳实践。
持续监控的应用场景
通过实时网络安全与业务监控情报指导供应商风险评估工作,可使您的供应商风险管理计划更具持续性,减少被动应对。例如,可利用监控技术扫描暗网以发现供应商的漏洞、数据泄露及凭证外泄情况。随后将这些数据与供应商评估问卷收集的信息进行关联分析,即可揭示密码管理和/或补丁管理控制措施中的不一致之处。
强大的第三方风险管理解决方案不仅能处理此类分析,还包含触发后续评估的规则与自动化流程。这种方法实现了第三方风险管理的闭环管理,将单点评估转变为持续风险监控。
第三方风险情报来源
要做出明智的、基于风险的决策,就必须整合并规范来自众多不同来源的数据。在寻找、集中管理并解读供应商安全态势背后的数据时,很容易耗费大量时间。因此,评估第三方风险管理(TPRM)解决方案能否以可操作的方式汇总并报告第三方情报至关重要。
无论您是在评估风险监控解决方案,还是采用人工方式,都务必关注以下第三方风险情报来源:
1. 公共来源
公开可获取(且很可能免费)的第三方威胁情报常见来源,提供行业动态、趋势及安全事件更新:
- 数据泄露网站评估近期泄露事件的影响(例如《今日数据泄露》)
- 企业网站发布的新闻稿可能暗示潜在风险(例如裁员、财务消息等)。
- 产品和公司评论网站能反映客户对企业产品的看法(例如G2)。
- 招聘网站和员工评价平台揭示了企业的运营状况,并预示潜在的动荡(例如Glassdoor)。
- 行业期刊和专业网站会分析可能影响企业运营的趋势(例如《今日制造业》)。
- 博客和社交媒体帖子提供公司新闻更新,包括安全事件(例如Recorded Future)。
- 表明公司安全等级的认证机构(例如SOC)
- 新闻推送提供持续更新的头条新闻
2. 私人来源
第三方风险情报的私有来源包括收费数据服务及网站,这些资源可能难以获取或存在浏览风险。此类来源可提供关于第三方供应商更为详尽的商业与网络风险情报。
- 征信机构提供一项评分,用于反映潜在合作伙伴的财务状况(例如益博睿)。
- 财经评论网站探讨收益与风险(例如:Motley Fool)
- 法律行动网站会审查可能对供应商的业务关系和执行能力产生负面影响的诉讼(例如ClassAction.org)。
- 威胁情报源持续更新漏洞与暴露信息(例如ThreatConnect)
- 粘贴站点包含可用于突破公司防御的代码(例如Pastebin.com)
- 代码仓库类似于粘贴网站(例如Bitbucket.org)
- 黑客论坛,网络犯罪分子在此非法讨论攻击目标并共享信息*
- 暗网论坛,您可以在这里找到泄露的凭证及其他损害公司利益的信息*
可靠的情报提供商拥有全球研究团队,持续搜寻供应商风险暴露点,并借助多家风险情报合作伙伴。这种方法能提供尤为广泛而深入的分析洞察。
*监控黑客论坛和暗网网站最好交给专业安全研究人员!
3. 监管机构
行业与政府监管机构是第三方风险情报的关键来源。许多机构会公布执法行动和违规行为的相关信息,这些信息可能导致罚款或诉讼,进而影响供应商的运营。
贵组织可能还需依法确保其第三方满足合规要求。可通过实施供应商评估并借助持续监控进行验证来实现这一目标。
第三方风险管理中涉及的主要法规及监管机构包括:
- CCPA– 加州消费者隐私法案
- GDPR– 欧盟通用数据保护条例
- HIPAA——《健康保险携带与责任法案》——安全与隐私规则
- 纽约州金融服务部(NYDFS)第500部分
- OCC– 美国货币监理署
- PCI– 支付卡行业数据安全标准
您可在我们的合规部分查看要求供应商评估和/或监控的法规表格。
4. 行业合作
若贵行业设有信息共享中心(ISAC),则该组织会员资格应为强制要求。例如:
- 医疗保健信息共享与分析中心(H-ISAC)在医疗保健/制药行业
- 法律供应商网络与Theorem Legal为律师事务所服务
- 通用第三方风险的共享评估
5. 技术整合
很可能,您正在使用多种不同的产品来管理企业风险。如果您的解决方案各自为政,那么请探索集成如何能提升第三方风险情报收集的效益。例如,许多组织将工单系统和运营管理解决方案(如ServiceNow)与供应商风险监控系统结合使用。在这种情况下,将工单系统与风险数据关联起来,有助于加速决策并促进问题整改。
6. 供应商评估反馈
在收集完成评估的反馈时,您应将这些回应集中记录于风险登记册中进行追踪与报告。尽管第三方情报收集通常以个体形式开展,但数据的集中管理能为后续跨行业供应商群体的活动提供决策依据。
常见的行业标准评估包括:
- 共享评估标准信息收集(SIG)问卷
- 网络安全成熟度模型认证(CMMC)评估
- 美国国家标准与技术研究院(NIST)对SP800-53和网络安全框架的评估
- 国际标准化组织(ISO)针对27001、27002和27036-2的问卷调查
此时便需要运用上述用例。通过自动化规则,您可以将持续监控中发现的漏洞与评估响应进行关联,并利用这些发现触发后续评估。
7. 供应商风险网络
已完成的供应商评估库可为您提供数千家组织的基准评估和风险评分。这些资源对开展潜在供应商的采购尽职调查尤为重要,还能让您的安全团队在关键供应商的风险分析中抢占先机。请务必选择不仅提供评估分数、至少包含外部网络安全评级的服务,这将帮助您弥合供应商评估与评估库更新之间的信息缺口。
第三方风险情报的下一步行动
更全面的情报能促进更明智、更周全的决策。Prevalent提供一系列供应商风险管理软件、网络及 服务(
),通过整合评估与监控功能,为第三方风险提供全方位视角。
在我们的最佳实践指南中了解我们行之有效的 5 步供应商风险管理方法,或立即申请演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
