防御有道: 10招帮您降低第三方网络威胁

在这个相互连接的世界中，没有哪家企业是身处孤岛之上的。所有企业都不得不与第三方（外部厂商、承包商、关联企业、合作伙伴以及其他人）发生多重关系。

这对于成长中的企业来说当然是件好事，但是对于企业的安全来说也是一件非常糟糕的事情。很多专家认为，如今粗心大意的内部人员是安全链条中最薄弱的一环，第三方承包商（其也有漫不经心的内部人）也成了最薄弱的一环。婉转一点地说，这些都是企业安全领域的主要“痛点”。

第三方访问已成网络安全的最大威胁

2013年年底塔吉特（Target）百货因第三方承包商造成大规模数据泄露事件，去年雅虎又爆发了10亿级用户数据泄漏案。据悉，黑客当时并没有直接入侵雅虎的服务器，而是从第三方数据库中抽取到了电子邮件地址和口令。一时间，第三方网络威胁开始引发热议，卷入舆论的漩涡中。

2016年5月，Soha第三方咨询小组开始对200多名企业IT和安全高管、董事、经理进行了一项调查，试图找出由于第三方访问而导致的IT风险和日常挑战。结果表明，98%的受访者不认为第三方访问是IT项目和预算分配的第一要务。具体数据显示如下：

2%的受访者将第三方访问视为其预算分配的首要任务；

56%的受访者对自身控制或防护第三方访问的能力表示强烈担忧；

48%的受访者表示第三方访问在过去3年间增长迅速，且40%的受访者认为未来3年第三方访问将持续增长；

75%的IT和安全人员认为第三方数据泄露非常严重，且正在增加；

与此同时，IIA研究基金会和Crowe Horwath LLP联合发布的调查数据也显示：

超过78%的受访者表示对自身控制或防护第三方访问的能力表示“担忧”或“强烈担忧”；

高达90%的受访者报告称自己的公司喜欢使用第三方技术承包商；65%以上形容他们的企业“极度依赖”或“广泛运用”第三方供应商；

历史的惨痛教训和直观的数据警示我们：重视第三方网络威胁已经成为保障网络安全不可回避的话题。普华永道的网络安全和隐私合伙人T.R. Kane表示，企业需要花些时间来正确对待他们的第三方合作项目，2016年虽然已经取得了一些进展，但是效果并不可观。

Kane认为，“我们看到第三方风险管理已经成为董事会议的重要议题之一，显然，公司已经意识到，一旦发生攻击事件将对企业的直接营收和股价带来负面的影响，所以相较于花费数百万去解决一个安全问题，他们更愿意花精力关注第三方风险管理”。

以下10点安全建议主要出自普华永道的网络安全和隐私合伙人T.R. Kane、Optiv公司信息安全风险管理副总裁James Christiansen、以及CyberGRX公司首席执行官Fred Kneip。

如何降低第三方网络威胁？

1. 确定第三方项目需要综合考虑该公司的文化、潜在威胁和风险规避水平

开发一个项目伊始，其流行趋势、变化以及威胁等因素都会对业务成败带来非常明显的影响。很多项目最终失败，因为其利益相关者不能表达出一个第三方供应商如何能为他们的业务带来效益，以及他们愿意在商业协议中承担多少风险。例如，公司可以在东欧找到一个低成本的代码开发者，此举在短期内确实会省钱，但是这个离岸开发者真的适合该公司的企业文化吗？与一个不尊重版权法的企业合作开展业务真的值得吗？虽然有些企业觉得有些风险值得去冒，但是建议大家至少充分考虑到潜在的负面影响。

2. 实施强有力的内部管理体系和政策

建立一个全公司范围的管理政策，为任何第三方风险管理项目奠定一个坚实的基础。通过让每个员工知晓企业制定风险管理计划的目的是什么，并让他们参与其中发表意见。只有让他们每个人都清楚地了解，任何新的流程或职责都是为了防止由第三方带来的安全风险，如此一来项目才能达到最佳效果。

3. 确定第三方供应商的风险等级

列出所有与公司有业务往来的供应商，然后将其按照高风险、中等风险以及低风险进行分类。很多大型企业认为他们无法处理得来5000—10000多家供应商，所以对最低风险的公司进行检查是非常重要的。此外还要记住，第三方包括供应商、合资子公司、子公司以及客户。更成熟的程序认为，第三方必须由与互联网相连或与之信息共享的企业组成。例如，一个供应商可能通过文件传输协议传输信息，他们不一定与网络直接相连，但是敏感信息可能会被转移。公司需要对固有风险进行总体考察，如战略、合同、信息、IT操作以及监管和合规风险等。

4. 了解第三方的稳定性和健康状态

一个企业如果面临经济压力就会停止在安全管控方面的投入。在开展合作之前先要进行一个全面的背景调查。了解他们最近是否发生过安全事件？有没有被新闻报道过一些负面新闻，比如悬而未决的诉讼案或并购和收购活动等？了解一场DDoS攻击会对其提供服务的能力造成多大影响。探索其潜在风险是非常重要的，看看他们是否有针对安全事件提供任何服务支持。

5．合规并不一定意味着风险管理

记住，规则如SOX、HIPAA（健康保险流通与责任法案）以及PCI DSS（数据安全标准）都是最基本的标准。安全并不等于满足最低监管标准。安全界的事情变化莫测，有时候法规并不能赶上其变化。例如，大多数法规并未将“勒索软件”纳入其中，但是当今时代的每个组织都在为防范勒索软件在努力。

6. 停止寻找“银色弹头”（暗喻新技术），但并不意味着技术没有帮助

依靠新技术来帮助安全人员减少所有可能的风险只是一种不切实际的美好愿望。最好的方法还是依靠人、流程以及技术的结合。当然，这并不意味着技术是无用的。现在市场上有许多可用的技术，提供实时的风险仪表板或风险管理平台等。

7. 协商改善第三方的控件

在很多情况下，进一步的风险缓解根本不具有任何经济意义。当风险引发的潜在损失小于实施风险管理措施所消耗的成本时，通常鼓励高级管理人员接受风险并继续协商其他更加无法接受的风险。

此外，考虑风险转移也是非常重要的。作为合同谈判过程的一部分，企业可以要求第三方附带网络保险服务。如果风险很大，一定要确保企业的权益在保单中得到保障。对于高风险的合作关系，企业应该考虑自己购买一份网络保险作为唯一受益人。

风险转移是一种相对轻松却又容易被遗忘的方法。公司可以通过法律协议或是保险单将风险转移给第三方。现在，很多商业财产和事故保险中都内置网络保险单或附加险。

8. 仔细检查你的风险评估结果

企业风险评估的审计结果对于企业不同领域（如采购、法律和安全）的内部审查具有非常重要的指导意义。企业应该对审计中发现的风险进行复审，并要求第三方对薄弱环节进行修改以符合组织对安全性的要求。

企业还要对后续操作进行跟踪反馈，以确保薄弱环节的修复活动得以落实。企业经常与第三方之间签订合同，但是又从不跟踪其是否实施了合同中的敲定条款。例如，如果第三方同意每周或每月对日志进行检查，或是将所有的笔记本电脑默认加密，一定要进行跟踪反馈以确保他们真的落实了。

9. 检测并报告风险等级

观察风险是如何随着第三方变化的。第一份合同可能是低风险的，但是第二份合同的风险可能更高。制定流程，以便企业能够证明第三方风险计划满足了业务风险和监管的要求。此外，还要向执行团队提供持续性的风险等级报告，来展示第三方风险技术是否发挥效用。

10. 进行公开地沟通

与高风险的第三方建立定期沟通。更新任何新活动的最新消息，并与他们重申违约通知的要求，努力让信息共享变得更加便捷。对于规模较大、更为成熟的第三方公司，建议每年进行一次现场检查，或是每季度通过远程会话和电话进行检查。

原文链接：

http://www.darkreading.com/operations/10-ways-to-lock-down-third-party-risk----/d/d-id/1326975?