关于第三方供应商和网络安全的五个问题

从营销顾问和供应链合作伙伴到会计师和 IT 服务提供商，如今的组织几乎在所有可以想象的业务职能方面都依赖于各种第三方。

根据 Ponemon Institute 最近的研究，第三方依赖的意外后果是美国 61% 的组织经历过由第三方或供应商造成的数据泄露。 57% 的企业无法确定其供应商的安全策略和防御措施是否能够充分防止违规行为，并且只有不到一半的企业在启动需要共享敏感或机密信息的业务协议之前评估供应商的安全和隐私实践.

因此，根据同一项研究，只有 16% 的受访者认为他们的公司在降低第三方风险方面“非常有效”，这并不奇怪。事实上，那些优先管理外包风险的人占少数。

开始降低第三方风险的最佳时间是在关系的最初阶段——在达成协议之前。那时您需要提出关键问题，以确定您可能面临的风险，以及如何最好地避免妥协。具有强大安全实践的供应商通常愿意谈论它们，而那些避免此类讨论的供应商可能会隐瞒某些事情。考虑到这一点，您在考虑第三方时应该问以下五个问题——一个是内部问题，四个是针对认真的候选人：

第三方将拥有或访问哪些数据和系统？ 许多第三方无法访问敏感数据或系统，因此如果他们遇到漏洞，对您的威胁很小。例如，园林绿化供应商几乎无法访问数据或系统，并且可能无法访问任何设施的内部。也许它可以访问的唯一计算机化网络是灌溉系统，它很可能与公司内部系统隔离。因此，对这个假设的景观供应商的任何潜在破坏预计几乎没有影响。

相比之下，人力资源提供者、财务系统或供应商将大不相同。例如，如果您聘请顾问开发客户分析以支持营销或业务战略，则该实体可能有权访问公司数据，包括客户信用卡号和家庭住址，或公司财务。这种类型的顾问应该仔细审查。

第三方做了哪些日志和监控？ 日志记录和监控是组织记录和响应其环境中活动的主要方式。但是系统和网络活动日志很冗长。在当今由多个不同系统和高带宽网络组成的现代计算环境中，日志事件的数量很快变得难以管理。为了正确监控安全事件，必须部署工具来存储和分类这些事件。通过了解供应商的人员和工具选择，您将了解它对安全性的重视程度。毕竟，人+工具=金钱=资源=优先级。寻找优先考虑并投资于安全性的合作伙伴。

第三方如何管理物理和技术访问控制？ 访问控制是减少脆弱性和风险的一种方法。它们有两种主要形式：物理形式和技术形式。在我们高度互联的世界中，很容易忘记物理控制的重要性。您需要确定第三方存储、处理和传输数据的物理位置，以及这些位置的物理安全级别。如果您的数据要存储在移动设备上，请务必了解与这些设备相关的安全控制措施，因为它们可能并不总是位于静态物理位置。

技术访问控制对于系统和网络的评估也很重要。询问有多少人可以访问您的数据，以及出于什么目的。了解第三方如何使用多重身份验证、管理员组中用户的审核频率、系统权限的审核频率以及离职员工的访问权限如何删除。此外，了解如何使用网络分段实践和工具。例如，有哪些控制措施可以将生产系统与互联网等其他环境隔离？第三方如何划分其内部网络？

很多时候，良好的物理访问控制可以弥补薄弱的技术控制，反之亦然。但最佳实践是将数据和系统的物理和技术访问限制为提供服务所需的个人。宽松的访问控制会打开攻击面并增加您的风险。

第三方采用什么方法修补系统？ 虽然未知或未公开的漏洞非常引人注目并受到很多关注，但它们很少见。与未知漏洞相比，组织面临的风险更大。因此，第三方必须拥有强大的程序来修复已知漏洞，方法是快速应用安全补丁来更新缺陷并删除底层易受攻击的软件。

主要软件供应商定期发布更新。在您对第三方的审查中，您需要确信处理、存储和传输您的数据的系统将收到定期和及时的更新，并且存在针对即时和关键漏洞的加速流程。

第三方是否经过独立审核或测试？它获得了哪些安全认证？ 审计使组织承担责任。第三方应通过完成并保留当前的标准化安全问卷（例如 SIG Lite 或 CSA CAIQ）来进行自我审计。除了自我评估，独立审计让您放心，第三方正在遵守其政策和程序。独立审计可能包括渗透测试或 SOC 2。一些行业拥有自己的认证，例如医疗保健领域的 HITRUST、支付处理器的 PCI 和美国联邦政府的 FedRAMP。在所有情况下，独立审计都很重要，并表明对维护经过验证的正式信息安全计划的承诺。

总的来说，围绕这些关键领域的讨论将使您了解供应商的安全状况。如果供应商的答案是透明的，并表明战略优先级和积极主动的努力，您就可以更加自信地前进。如果供应商的安全态势不成熟，那么您必须要么接受风险，要么考虑其他缓解措施来控制它。

不要让数据安全成为事后的想法。使其成为产品和服务讨论不可或缺的一部分。在当今大量复杂攻击的环境中，网络安全是 一个商业问题。您必须尽职调查以了解您的风险。

Jeremy Haas 是首席安全官，Ryan Bergquist 是网络安全分析师， LookingGlass 网络解决方案 .