在
研究中,第三方风险管理团队表示,他们最关切的是第三方安全事件对公司运营的影响。 因此,持续监测网络信号——包括暗网犯罪论坛、特殊访问论坛、洋葱网页、泄露凭证粘贴站,以及公共安全社区、威胁情报源、代码仓库和漏洞数据库中的活动——已成为理解第三方风险对组织构成威胁的必备能力。
然而,企业往往忽视业务、财务或声誉风险可能引发的连锁反应,这些风险会影响第三方供应商的合规状态或安全卫生状况。本文将探讨14项关键商业洞察,这些洞察可预测潜在的第三方安全问题,并阐述如何通过评估与持续监控相结合的方法有效降低第三方风险。
第三方网络安全风险管理中常见的14项商业洞察
供应商的负面新闻(如财务问题、数据泄露或违规行为)可作为潜在安全风险的早期预警。通过监控此类新闻,网络安全专业人员可采取主动措施评估并减轻对组织安全态势的影响。以下是作为供应商风险管理计划(TPRM)组成部分需监控的14个新闻主题:
金融不稳定
供应商财务状况的重大变化(如意外亏损、收入下滑、破产申请或会计违规)可能表明其资源受限,这可能影响其对网络安全控制措施的投资能力,或导致削减成本的措施,从而损害安全或增加内部威胁的发生概率。
裁员与劳资纠纷
裁员和劳资纠纷可能导致组织内部出现分心和混乱,使关注点和资源从网络安全工作中转移。这可能造成安全监控出现漏洞、事件响应延迟,并整体削弱抵御网络攻击的能力。
裁员或劳资纠纷也可能导致人员编制缩减或资深网络安全专家离职,使组织陷入人力短缺且缺乏有效管理安全所需的关键专业技能的困境。这将增加安全事件未被发现或未获解决的风险,使组织更易遭受网络威胁的侵袭。
内部威胁
感到遭受不公平对待或面临失业风险的员工,可能更容易成为内部威胁。他们可能会通过窃取敏感数据、破坏系统或其他恶意活动进行报复,从而危及网络安全。
社会工程学攻击
员工容易受到社会工程学攻击,例如网络钓鱼或借口欺骗。攻击者可能利用其情绪状态或财务顾虑,诱骗其泄露敏感信息、点击恶意链接或执行危及安全的未经授权操作。
并购
监控供应商并购活动至关重要。所有权变更或企业战略调整可能对网络安全产生影响,例如安全策略变更、基础设施整合挑战,或因收购实体而暴露于新风险之中。
系统中断与停机时间
意外的系统中断或停机可能是遭受攻击的迹象,例如分布式拒绝服务(DDoS)攻击、勒索软件事件或基础设施故障。监控系统可用性与性能指标,及时掌握关键中断情况,有助于识别并缓解可能影响关键服务和基础设施的网络威胁。
违反法规
违反监管规定的行为,例如未遵守数据保护法律或行业标准,可能表明企业缺乏对安全与隐私最佳实践的承诺。违规行为可能导致罚款、法律处罚,并丧失客户信任——这些客户依赖供应商安全处理其敏感数据。
事件响应
关于安全事件的负面新闻可能凸显供应商处理安全事件的方式,例如延迟或不充分的响应,并引发对其有效检测、缓解和从网络威胁中恢复能力的担忧。应对不当的事件响应可能加剧安全事件的影响,并削弱用户对供应商保护客户数据能力的信任。
数据泄露
有时媒体会在企业正式披露数据泄露事件前就进行报道。这使得团队能够主动联系直接受影响或易受软件供应链攻击的供应商和/或供货商。
参与网络间谍活动或国家支持的黑客行为
若发现供应商与网络间谍活动或国家支持的黑客行为有关联或受到制裁,则可能表明存在重大安全风险。此类行为可能危及数据和系统的机密性、完整性及可用性,对供应商的客户和合作伙伴构成威胁。
制裁
涉及违反出口管制或技术转让法规的负面新闻,表明供应商在合规与风险管理实践中存在潜在薄弱环节。此类违规行为可能涉及向受制裁企业或个人非法转移敏感技术或知识产权,从而引发安全漏洞和监管处罚风险。常见制裁名单包括美国财政部外国资产控制办公室(OFAC)维护的名单及英国制裁名单。
终极企业主
若供应商与从事恶意网络活动或支持网络敌对势力的实体存在业务往来或合作关系,则可能引发对其关联安全风险的警示。此类联系可能使供应商及其客户面临间谍活动、破坏行为或其他网络威胁。 美国财政部发布的《特别指定国民(SDN)及被封锁人员名单》包含由目标国家拥有或控制、或为其行事或代其行事的个人及公司名录。
网络攻击的目标
政治人物(PEP)因掌握敏感信息且可能影响政治或经济决策,常成为网络攻击的高风险目标。网络犯罪分子可能通过钓鱼攻击、恶意软件活动或其他手段针对政治人物,以获取其系统未经授权的访问权限、窃取敏感数据或破坏其通信安全。 为应对这类活动,多家政府机构、监管机构及信息库(如联邦金融机构检查委员会FFIEC和 LexisNexis)均维护着政治人物名单。
地缘政治发展与政治动荡
追踪地缘政治紧张局势、国际冲突、贸易争端及政治动荡,有助于企业评估可能影响全球运营、供应链和投资策略的地缘政治风险、市场波动及监管变化。地缘政治事件还可能加剧网络安全风险,例如国家支持的网络攻击或间谍活动。
如何将网络安全与商业洞察融入第三方风险管理
您可以通过各种工具和分散的新闻源来监控这些新闻主题,但此类人工方法无法让您的团队将信息与现实中的攻击行为建立关联。唯有采用自动化方法——通过集中化、标准化处理,将来自内外风险评估及多重外部监控源的信息进行关联分析——才能获得这些洞察。
普瑞瓦伦特第三方风险管理平台可提供帮助。除网络威胁情报外,该平台还整合了以下洞察:
- 来自全球30,000个来源的不利媒体报道与负面新闻
- 来自1,000多份执法名单和法院文件的全球监管与法律制裁
- 国有企业和政府关联企业
- 全球政治人物数据库收录逾180万名政治人物档案,涵盖其家庭成员及关联人士
- 来自55万余个公共及私有运营信息源的定性洞察,涵盖并购活动、商业新闻、管理层变动、竞争动态、新产品发布、运营更新等内容。
- 覆盖160多个国家、数百万企业的全球网络,包含五年财务表现数据,涵盖营业额、损益、股东资金、信用评级、付款记录、破产情况、投资等信息。
- 一个包含全球数千家企业十年以上数据泄露历史的数据库,涵盖被盗数据的类型与数量、合规与监管问题,以及实时数据泄露通知。
监控负面新闻使网络安全专业人员能够及时掌握供应商潜在安全风险,触发额外的供应商尽职调查,洞察潜在合规问题,管理声誉风险,并完善事件响应计划。通过采取主动、全面的第三方风险监控策略——涵盖网络安全、业务运营、声誉管理及财务因素——可强化组织安全态势,降低第三方供应商引发的事件影响。
若需了解Prevalent如何帮助统一监控网络安全、业务运营、财务状况及声誉风险等关键指标,并将其与评估结果关联分析,请立即申请演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
