趋势与观点 | 网络安全和第三方供应商风险
随着所谓的第四次工业革命 (4IR)的到来,今天的企业正以前所未有的速度采用技术。这种技术的采用是由多种因素驱动的,如追求效率、技术进步、劳动力短缺、缓解风险,以及可以说是近代历史上影响力最深远的因素-COVID-19 疫情。疫情使人们转向远程办公,这有助于组织在受到疫情防控限制的情况下继续运营。虽然远程工作的技术和安排能够确保业务连续性,但它也带来了更多的网络攻击和恶意网络活动。
图片来源于公共图片库
网络威胁会给业务运营和系统带来风险,无论他们是由企业内部管理还是外包给第三方供应商。当发生业务中断时,网络犯罪分子信心倍增,而组织被迫重新审视其对某些流程的风险态度,以确保或恢复顺畅的工作流。不仅企业使用的系统面临风险,第三方供应商使用的系统也面临风险。对于那些运营上依赖第三方支持和能力的组织来说,这尤其令人担忧。
企业不仅要评估自己的安全环境,还要了解第三方供应商的安全环境。第三方必须证明自己的安全治理和网络安全状态与和他们合作方的治理和网络安全状态是一个级别的,并且不会造成可以被网络犯罪分子利用的弱点。企业必须将第三方供应商的环境视为自身的延伸,以确保安全。以上是任何企业基础设施和合作的第三方供应商的两个主要要求,因为企业和第三方供应商的目标可能并不像人们预期的那样契合。
企业不仅要评估自己的安全环境,还要了解第三方供应商的安全环境。
最近一个广为人知的,关于第三方供应商向客户及其网络提供支持服务带来风险的例子是SolarWinds 网络攻击,因其攻击对象命名。SolarWinds 开发软件来帮助企业管理其网络。美国政府使用了由 SolarWinds 开发的软件,攻击者在标准软件更新期间发送隐藏的木马。这使黑客能够渗透到SolarWinds客户企业网络中的其他内部程序并泄露机密信息。SolarWinds 攻击事件是供应链网络攻击的一个典型例子,也是通过攻击第三方供应商造成对其客户的潜在威胁的实例。这也表明与第三方供应商合作制定和实现安全标准以有效降低风险的重要性。企业必须确保他们的团队得到适当的培训,并确保他们获得与第三方供应商合作所需的能力和工具。
SolarWinds 的例子凸显了网络空间的相互关联性,以及在行业、国家和全球生态系统层面开展协作以发展有效网络防御的必要性。企业的安全不仅取决于其自身的员工、供应商和承包商,还取决于其所在地区和更广泛的全球经济中其他组织的安全。企业可能会耗尽其资源来应对系统保护方面的挑战,但要确保类似的安全性来保护网络空间的其他用户,则需要一个全球安全防御机制,这意味着与其他合作伙伴甚至竞争对手进行开放式沟通。
图片来源于公共图片库
为了降低风险,企业需要对其运营进行实事求是的检查,以确定可能受到攻击的手段。组织的风险缓解策略必须考虑以下动态因素:
攻击者及其用于了解组织风险管理方法的策略
当前和理想的安全环境
引入企业的任何新业务
业务可能扩展到的新市场
市场上的新竞争对手
为了改善网络防御,制定恰当的防御措施以及防御政策和程序至关重要。企业必须有效和公开地传达他们的防御措施,并确保他们了解第三方供应商的网络防御能力,从而确保组织内的网络安全是有效的。对网络安全采取透明和坚定态度的关键是组织和第三方供应商的共同努力。
与第三方供应商合作时,可以帮助降低网络安全风险的建议有很多:
要求第三方满足企业的网络安全标准,并对任何分包商实施相同的标准。
定期进行系统测试(例如,渗透测试)。
实施访问控制,使得用户的访问取决于他们的角色完成工作的需要;他们没有其他访问权限,并且在企业中广泛使用零信任。
在企业范围内对所有高级别访问实施多因素身份验证 (MFA)。
实施系统以检测可能的安全威胁并在发现威胁时通知适当的联系人。
研究和准备第三方供应链攻击场景。
通过强制性安全培训和认证机会为团队成员做好准备。
在第三方合同中指定安全要求(例如,服务水平协议 [SLA]、升级协议),并与采购部门合作将这些元素集成到任何供应商合同中。
确保对小型供应商的网络安全期望是其在安全性和有效利用可用资源之间取得平衡。
确保在发现任何问题时予以纠正,及时通知客户并遵循风险缓解程序。
结论
对于大多数组织而言,网络风险是不可避免的,必须加以缓解。虽然企业更容易确保自己的系统得到保护并且任何相关风险因素都得到很好的缓解,但他们可能并不总是知晓其第三方供应商系统面临的网络安全风险。这使得第三方供应商的风险难以得到缓解,但这并非不可能。秘诀是确保组织及其供应商拥有适当的风险管理系统和流程,并且各方之间的沟通清晰透明。只要企业的风险登记册上有第三方供应商相关的网络安全风险,网络风险就一定能获得有效缓解。
ISACA Blog | 内部审计师如何提高网络安全审计的有效性?
ISACA Journal | 信息安全很重要:网络安全事件恢复
ISACA Journal | 虚拟银行中的网络安全和技术风险
编者注:本文首次发表于2022年4月1日ISACA官网News and Trends /Industry News。尾注略。文章内容仅代表作者本人观点。
作者:Nasir Ali, CA, CFE,独立顾问,帮助企业完成网络安全评估,向董事会建议风险缓解策略。
翻译:王刘东博(Franklin Wang)关注渗透测试,web安全,ISACA微信公众号特邀通讯员,任职于安永企业咨询有限公司。
校对:尹杭宇,CISM,PMP, ISACA微信公众号特邀通讯员。