如何利用威胁情报降低第三方风险

通过这些顶级第三方风险情报来源,拓展您的第三方风险管理计划范围。

Mitratech 员工
Mitratech 员工 6月22,2023 6 分钟阅读
Decorative image

有效的第三方风险管理计划不仅包含对供应商和供货商进行基于内部控制的定期评估,还必须整合持续的风险洞察
以填补评估间隙,并验证控制措施的存在与有效性。然而,对许多组织而言,第三方风险管理(TPRM)仍被视为非此即彼的选择。

本文探讨:

  • 威胁情报计划中应纳入的顶级威胁情报类型——以及最佳数据来源
  • 如何通过威胁情报降低第三方风险
  • 优化第三方风险情报的最佳实践

第三方风险情报的主要类型与来源

在考虑将威胁情报整合到常规供应商安全控制评估中时,请纳入以下类型:

供应商网络威胁情报

网络威胁情报作为最常见的外部供应商洞察类型,能揭示第三方机构的安全表现、漏洞及数据泄露历史。这些洞察有助于您评估第三方是否建立了充分的安全管控措施。

此类数据的常见来源包括:犯罪论坛;洋葱网页;暗网特权访问论坛;威胁情报源;泄露凭证粘贴网站;安全社区;代码仓库;漏洞数据库;以及数据泄露历史数据库。

供应商运营更新

商业新闻、并购活动、管理层变动、竞争动态及新产品发布等信息,可帮助您判断该第三方是否为运营良好且具备可行长期战略的组织。

您可以通过公共和私营运营信息来源、新闻推送、商业新闻数据库以及企业网站收集这些主题的相关信息。

供应商财务洞察

供应商的财务表现、营业额、损益情况、股东资金、信用评级、付款记录、破产记录及投资信息均表明该第三方企业持续经营且财务状况良好,能够履行其承诺。糟糕的财务业绩可能预示预算削减,进而影响安保运营。

信用评级机构、财务报告网站和新闻媒体是这类信息的常见来源——其中大部分信息都是免费的。

供应商信誉洞察

古语有云:物以类聚,人以群分。通过洞察声誉风险——例如负面媒体报道、监管与法律制裁、国有及政府关联企业往来、以及与政治敏感人士的合作——企业能够提前规避潜在的损害性关系。

声誉信息的来源多种多样。您可以通过新闻报道、制裁名单(例如美国财政部外国资产控制办公室(OFAC)英国制裁名单欧盟综合制裁名单)和法庭文件;政治人物数据库(如FFIEC 和LexisNexis)以及其他众多渠道获取相关信息。

持续监控第三方风险的弊端在于,威胁情报领域缺乏一站式解决方案,因此许多企业被迫采取某种程度上支离破碎的方式来收集和分析这些数据。

威胁情报助力缓解第三方风险的四种方式

外部威胁情报可通过四种主要方式帮助降低第三方风险。

1. 验证供应商报告的内部控制措施的有效性

若第三方供应商在安全评估报告中声明或通过安全认证(如ISO或SOC 2)证明其要求使用强密码,但外部威胁情报显示该供应商的用户ID、密码或管理员凭证正在暗网出售,则可合理推断该供应商的密码策略强度不足(甚至可能需要改进其钓鱼攻击防范或安全意识培训计划)。

2. 尽早了解潜在供应商的风险状况

威胁情报可用于全面评估潜在供应商为您的环境带来的风险。例如,在第三方供应商或供货商关系的采购与筛选阶段,获取其过往数据泄露、安全事件、合规问题、制裁记录等情报,有助于指导供应商选择决策。安全评分较低的供应商可能不符合贵组织的风险承受能力。

3. 填补常规评估周期之间的空白

若贵组织每年对第三方供应商进行安全评估,外部威胁情报可填补年度评估之间的空白,确保您不会错过潜在重大威胁的出现。

4. 对非关键供应商执行基线检查

在大多数组织中,存在一类被视为关键的供应商,贵组织应定期对这些供应商进行全面的安全评估。然而,对于被视为非关键或低级别的供应商,有时只需执行基础评估即可。通过供应商分类与分级评估,您可根据供应商对公司运营的重要性或其是否处理敏感客户数据等因素,确定相应的处理方式。

优化第三方风险情报的最佳实践

集中化以实现标准化

常见的做法是将所有情报孤立处理,但这种做法会抵消收集所有信息的益处。 相反,应将所有威胁情报来源集中到单一风险登记册中,对数据进行标准化处理并转化为有意义的结果。这种方法能够实现风险量化与情境化——例如映射到各种安全框架和合规控制措施——从而帮助确定风险优先级及相应的补救措施。这种统一方法还支持与评估结果进行关联,将极大简化风险审查、分析、报告及响应流程。

修复至关重要

正如我们在2023年第三方风险管理研究中了解到的那样,在追踪风险与实施补救措施的企业数量之间存在显著差距。因此,在第三方风险管理计划中运用风险情报的价值,最终取决于风险承受能力和补救措施。若供应商对贵组织的威胁导致其风险评分偏高,则必须建议(或要求)其实施特定补救措施,方可继续与其开展业务。 或要求其实施特定的补偿性控制措施。无论采取何种方式,双向沟通对降低风险都至关重要。

您在第三方风险管理计划中推进第三方风险情报的下一步行动

为应对不断变化的监管要求和日益演变的威胁态势,第三方风险情报将变得日益重要。若想了解如何运用高级分析和机器学习技术识别当前潜伏在供应链中的未预见风险,立即申请演示

编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。

授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。