第三方攻击在增长但风险管理跟不上
编译:代码卫士
最近发生的一系列重大攻击事件如SolarWinds、Kaseya 和 Accellion 事件让第三方风险成为企业的优先考虑因素。该公司基于对负责管理这种风险的1200名首席信息官 (CIO)、首席信息安全官 (CISO) 和首席采购官 (CPO) 的调查,发布了报告《管理扩张的供应商生态系统中的网络风险》。
报告发现受访者对威胁的紧迫性意识在提升。去年,31%的企业表示并不关注这种第三方风险,而当前该比例降至13%;去年14%的企业表示第三方供应商超过1000名,而今年这个比例提升至31%,是原先的两倍多——尽管 BlueVoyant 公司认为这种巨幅增长并非由对第三方的使用增多引发,而是和人们意识提升的关系更大。
去年,81%的企业表示提高了第三方安全风险管理预算,当前这个比例增长到了91%,但这种增长并未转化为有效的风险管理方案。主要问题在于这种情况常被视为合规问题;即可能只是针对每个第三方供应商的基于纸面的年度审计,并不反映第三方风险的持续不断的本质。
相比去年,今年对供应商的评估频率减少,使得上述情况更加糟糕。47%的企业针对供应商的安全审计或报告频率不超过一年两次,而在去年这一比例是32%。难怪38%的受访者表示没有了解第三方供应商网络安全状况的渠道,而在去年这一比例是29%。
BlueVoyant 公司的全球第三方网络风险管理总监指出,“我们发现的趋势是,支出增多的主要原因是媒体报道了这些引人注意的事件,但我们还没看到这些预算被应用到持续监控和降低真正风险运营活动中。好在安全意识和预算也在跟进,现在的问题是预算能被合理分配到降低风险中。”
BlueVoyant 公司认为解决方案在于对第三方供应商的安全态势进行持续监控而非定期监控。该公司指出,“即使我们发现企业对该问题的意识正在提升,但安全事件及其所导致的负面影响仍然巨大,而持续监控的普遍性仍然过低……只要它还是一年仅被讨论一两次或更少的单项产品,那么从战略角度来讲,网络风险管理工作仍将无法取得进展,直到不可避免的网络事件发生,导致数据泄露、操作中断或使企业尴尬。”
持续监控可检查每个第三方供应商的可见安全态势。报告表明,第三方风险意识和风险预算都在提升,需要做的就是将预算转变为合适的能力,赋能合适的人员、流程和技术能够降低该风险,包括了解哪些供应商在触发风险并给出相应的降低风险的建议。
第三方依赖关系的风险:利用数十个易受攻击的 NuGet包瞄准 .NET 平台
美国国会合同承包商遭勒索攻击,第三方软件安全亟需保障
欧盟网络安全局发布《供应链攻击威胁全景图》报告(下)
开源软件 Nagios 曝11个漏洞,可使IT 基础设施遭接管引发供应链攻击
https://www.securityweek.com/third-party-attacks-are-increasing-third-party-risk-management-failing
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。