第三方服务提供商的五大风险

 

亚马逊如何应对网络安全挑战

关键网络安全统计数据和趋势

移动优先世界中安全和隐私策略

当今数字时代网络安全的重要性

用户无法停止犯安全错误的 3 个原因

首席安全官可能过于依赖 EDR/XDR 防御

随着业务流程变得越来越复杂,公司开始转向第三方来提高其提供关键服务(从云存储到数据管理再到安全)的能力。

这样做通常效率更高、成本更低,但使用第三方服务也会带来重大(通常是无法预见的)风险。

第三方可能成为入侵的门户,如果服务出现故障,会损害公司的声誉,使公司面临财务和监管问题,并引起世界各地不良行为者的关注。

与供应商分手管理不善也可能带来危险,导致无法访问第三方安装的系统、失去数据保管权或数据本身丢失。

什么是第三方风险管理?

第三方风险管理 (TPRM) 是一种风险管理学科,涉及识别、评估和减轻与使用外部方(例如合作伙伴、供应商、供应商、承包商和服务提供商)相关的风险。

此类第三方通常可以访问您组织的一系列系统和数据,并且他们通常是您组织关键业务运营的关键参与者。

因此,第三方可能会增加您的网络风险状况,因为他们可能引发的任何安全问题都可能对您的组织产生后续影响。

TPRM 也常被称为供应商风险管理,它为组织提供了一个框架,用于识别有权访问组织系统、数据和设施的所有第三方。

它还确保您的组织已根据第三方可以访问的内容、其安全实践以及可能面临的威胁评估了与其使用的每个第三方相关的风险。

为了降低第三方风险,组织必须与其依赖的第三方合作,对其安全实践进行安全评估和审计。

他们还必须建立明确的合同协议,阐明所有相关方的安全期望和责任。

成功的 TPRM 还需要持续的监控和监督,以确保第三方遵守商定的措施,并在出现任何问题时制定事件响应和补救策略。

为什么第三方风险管理很重要?

对第三方服务的依赖正在增加。因此,组织发现自己越来越容易受到其合作伙伴带来的潜在安全问题的影响。

组织越来越依赖第三方,例如技术和云供应商,它们存储敏感数据或访问关键系统。

如果第三方的网络安全控制不力,这种风险会更高。

第三方自己的供应商也有可能受到损害。如果数据或系统受到损害,则影响可能包括品牌和声誉受损、法律和监管罚款或处罚以及补救成本。

使用第三方是许多企业普遍接受的必要条件,但需要持续管理。

第三方合作伙伴关系将控制权转移到公司之外,因此具有固有的商业风险。

考虑到 98% 的全球组织都与至少一家第三方供应商有联系,而这些供应商在过去两年内遭到入侵,因此这一点尤为紧迫。

最大的第三方网络安全风险

以下是第三方服务给您带来的五大网络安全风险:

网络攻击导致客户和公司数据泄露

根据世界经济论坛的《2022 年全球网络安全展望》,间接网络攻击(通过第三方成功入侵公司)在过去几年中从 44% 上升至 61%。

造成这种情况的原因之一是许多公司没有适当的控制措施来有效地摆脱第三方供应商。

他们没有制定流程来控制这些账户的访问管理权限和配置,这为寻找仍然活跃的老账户的网络攻击者打开了方便之门。

威胁行为者可能会滥用从第三方泄露获得的数据来执行各种恶意活动,包括身份盗窃、欺诈、账户滥用和外部账户接管攻击。

威胁行为者经常使用从第三方甚至第四方泄露中获得的泄露凭证和数据来访问其他受害者的环境。

第三方可能会在托管公司数据时受到攻击,或者攻击者首先瞄准第三方,然后利用第三方进入您的 IT 系统。

尽职调查和整个供应商生命周期内对漏洞的持续监控将有助于降低这种风险。

实施纵深防御方法以限制第三方对组织网络的访问对于防止对手获得特权升级至关重要。

因此,公司在允许第三方供应商访问其系统之前必须对其进行全面审查,以确保他们实施了适当的安全协议。

当涉及到谁拥有我们的数据时,第三方始终是一个令人担忧的问题;这就是为什么我们会根据公司面临的网络风险不断评估新的和现有的第三方。

事故成本、业务损失造成的财务风险

入侵的成本可能非常高昂,如果公司没有以正确的方式保护其系统,网络安全保险并不总是能涵盖入侵行为。

财务损失是你的损失,但你的组织声誉也会受损。你会失去客户。

你会失去新客户的信任,你会失去现有客户的信任,因此,你会失去收入来源……而更换现有客户需要花费很多钱。因此,财务损失会迅速累积。

声誉受损,失去客户信任

虽然违规行为可能并非发生在公司内部,但涉及客户公司数据或其客户的第三方服务违规行为,该公司可能不得不发表声明或通知个人。

由于这种下游影响,声誉影响可能远远超过财务损失。

服务提供商违约带来的负面宣传可能会损害公司的声誉或声誉,而公众对企业的负面看法可能源于其供应商名单中的第三方的问题。

客户对第三方提供的服务的投诉是一个很好的迹象,表明存在潜在问题。

客户看不到你的组装、产品、服务以及与他们互动的能力是由第三方支持的。

他们只看到你的名字、你的品牌,以及你无法兑现[你对他们做出的]承诺。

许多组织采取主动措施,确保其第三方是有效的数据保管者。

然而,当第三方拥有自己的供应商供应链时,事情就会变得复杂得多。

随着你继续追踪你的供应商和你的供应商的供应商,你可能很难洞察所有这些实体以及第三方风险计划的成熟度,这些计划正在以你期望的严格程度保护敏感数据。

地缘政治风险

乌克兰战争凸显了组织机构密切关注政治发展并做好应对动荡局势的准备的必要性。

组织机构需要确保在受制裁管辖区内的所有供应商、合作伙伴和合资企业活动都已停止。 

乌克兰战争以及俄罗斯和白俄罗斯的相关制裁并不是唯一需要考虑的地缘政治风险。

在容易发生政权动荡的国家开展业务的供应商,例如军事政变、暴力起义和系统性压迫少数民族,需要进行仔细和持续的监控。

政治动荡往往伴随着国家网络间谍活动的泛滥。组织需要确保第三方供应商彻底审查其承包商是否与已知从事此类活动的政府有联系。

第三方可能会在不知情的情况下雇佣国家派遣的自由职业 IT 远程工作者,为该国的独裁政权创造收入或进入公司网络。

尽管他们在工作期间可能不会参与任何恶意网络活动,但他们可能会利用特权访问从内部进行恶意网络入侵。这使得检测恶意活动变得困难。

监管合规风险

当第三方供应商违反政府法律、行业法规或公司内部流程时,它们也会使组织面临合规风险。

供应商不合规可能会使雇用他们的公司遭受巨额罚款。

例如,组织需要检查其第三方供应商是否符合 SOC2 审计标准。

SOC2 旨在确保第三方保护其客户的敏感数据免遭未经授权的访问。

组织还必须确保第三方遵守隐私和安全法律,例如欧盟的《 通用数据保护条例》(GDPR) 和 《加州隐私权法案》(CPRA)的要求。

合规性是一个巨大的风险,你可能合规并且实施了必要的控制措施,但突然间你把这些第三方也加进来了,如果你不评估[他们是否实施了控制措施],你可能会违反你的合规立场。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/759999.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Unity动画系统(1)

6.1 动画系统基础1-5_哔哩哔哩_bilibili 模型信息 Generic非人型 Configure 虚线圈可以没有,实线圈必须有,15个骨骼是必须的 p313 尾巴、翅膀属于非人型 p314 一般使用create from this model 游戏对象不再旋转 游戏对象不再发生位移 调整中心位置

WP黑格导航主题BlackCandy

BlackCandy-V2.0全新升级!首推专题区(推荐分类)更多自定义颜色!选择自己喜欢的色系,焕然一新的UI设计,更加扁平和现代化! WP黑格导航主题BlackCandy

springcloud第4季 分布式事务seata实现AT模式案例2【经典案例】

一 seata案例 1.1 背景说明 本案例使用seata的at模式,模拟分布式事务场景:【下订单,减库存,扣余额,改状态】 AT模式原理:是2pc方案的演变, 一阶段:业务数据和回滚日志记录在同一…

kubernetes中使用Helm搭建Redis集群

1. 环境要求 首先需要有kubernetes集群环境,搭建kubernetes集群可以使用kubeSphere、kubespray等工具安装集群。其次要安装helm,并且添加了可用的Chart仓库 2. 确认合适的Chart包 helm官网上搜索redis 找到Star数多的Chart包,一类是redis包…

JVM(12):虚拟机性能分析和故障解决工具之JConsole

1 JConsole作用 查看Java应用程序的运行概况,监视垃圾收集器管理的虚拟机内存(堆和元空间)的变化趋势,以及监控程序内的线程。 2 使用说明 代码如下: package com.example.demo;import java.io.IOException; import java.util.ArrayList; …

04.Ambari自定义服务开发-自定义服务配置文件在Ambari中的设置方法

文章目录 设置方法配置文件设置Custom xxx配置文件详细的配置方法.xml文件的整体格式基础参数格式value-attributes配置介绍设置属性在服务安装后不可修改设置允许字段为空是否显示配置名称参数类型设置字符串类型PasswordBooleanIntFloatDirectoryDirectoriesContent-多行文本…

2024 vue3入门教程:windows系统下部署node环境

一、打开下载的node官网 Node.js — 下载 Node.js 二、根据个人喜好的下载方法,下载到自己的电脑盘符下 三、我用的是方法3下载的压缩包,解压到E盘nodejs目录下(看个人) 四、配置电脑的环境变量,新建环境变量的时候…

【Flink】Flink SQL

一、Flink 架构 Flink 架构 | Apache Flink 二、设置TaskManager、Slot和Parallelism 在Apache Flink中,设置TaskManager、Slot和Parallelism是配置Flink集群性能和资源利用的关键步骤。以下是关于如何设置这些参数的详细指南: 1. TaskManager 设置 …

【TB作品】智能台灯控制器,ATMEGA128单片机,Proteus仿真

题目 8 :智能台灯控制器 基于单片机设计智能台灯控制器,要求可以调节 LED 灯的亮度,实现定时开启与关闭, 根据光照自动开启与关闭功能。 具体要求如下: (1)通过 PWM 功能调节 LED 灯亮度&#x…

RabbitMQ-交换机的类型以及流程图练习-01

自己的飞书文档:‌‍‬‍‬‍​‍‬​⁠‍​​​‌⁠​​‬‍​​​‬‬‌​‌‌​​​​​​‍​‍​‌⁠‬​RabbitMQ的流程图和作业 - 飞书云文档 (feishu.cn) 作业 图片一张 画rabbit-mq 消息发…

Java 并发编程常见问题

1、线程状态它们之间是如何扭转的? 1、谈谈对于多线程的理解? 1、对于多核CPU,多线程可以提升CPU的利用率; 2、对于多IO操作的程序,多线程可以提升系统的整体性能及吞吐量; 3、使用多线程在一些场景下可…

前端笔记-day11

文章目录 01-空间-平移02-视距03-空间旋转Z轴04-空间旋转X轴05-空间旋转Y轴06-立体呈现07-案例-3D导航08-空间缩放10-动画实现步骤11-animation复合属性12-animation拆分写法13-案例-走马灯14-案例-精灵动画15-多组动画16-全民出游全民出游.htmlindex.css 01-空间-平移 <!D…

Linux随记(十)

一、升级harbor v2.6.4 --> harbor-offline-installer-v2.11.0-rc3 --> v2.9.4 – 随记 漏洞信息&#xff1a; CVE-2023-20902timing condition in Harbor 2.6.x and below, Harbor 2.7.2 and below, Harbor 2.8.2 and below, and Harbor 1.10.17 and below allows an…

逆变器--学习笔记(一)

并网&#xff1a; 逆变器中的“并网”指的是逆变器将其产生的交流电与电网同步&#xff0c;并输送到公共电网中。并网逆变器通常用于太阳能发电系统和其他分布式发电系统&#xff0c;将其产生的电能输送到电网供其他用户使用。 THD谐波失真总量: 逆变器的THD&#xff08;Tot…

如何玩单机版:QQ音速

前言 我是研究单机的老罗&#xff0c;今天教大家带来一款怀旧游戏QQ音速 的教程。根据我的文章&#xff0c;一步一步就可以玩了。 如今市面上的资源参差不齐&#xff0c;大部分的都不能运行&#xff0c;本人亲自测试&#xff0c;运行视频如下&#xff1a; QQ音速 搭建教程 此…

Node.js全栈指南:静态资源服务器

上一章【认识 MIME 和 HTTP】。 我们认识和了解了 MIME 的概念和作用&#xff0c;也简单地学习了通过浏览器控制台查看请求和返回的用法。 通过对不同的 HTML、CSS、JS 文件进行判断&#xff0c;设置不同的 MIME 值&#xff0c;得以让我们的浏览器正正确地接收和显示不同的文…

还不知道工业以太网和现场总线区别???

工业以太网 工业以太网是一种专为工业环境设计的网络通信技术&#xff0c;它基于标准的以太网技术&#xff0c;但针对工业应用进行了优化。工业以太网能够适应高温、低温、防尘等恶劣工业环境&#xff0c;采用TCP/IP协议&#xff0c;与IEEE 802.3标准兼容&#xff0c;并在应用层…

【C++】string基本用法(常用接口介绍)

文章目录 一、string介绍二、string类对象的创建&#xff08;常见构造&#xff09;三、string类对象的容量操作1.size()和length()2.capacity()3.empty()4.clear()5.reserve()6.resize() 四、string类对象的遍历与访问1.operator[ ]2.正向迭代器begin()和end()3.反向迭代器rbeg…

分治精炼宝库-----快速排序运用(⌯꒪꒫꒪)੭

目录 一.基本概念: 一.颜色分类&#xff1a; 二.排序数组&#xff1a; 三.数组中的第k个最大元素&#xff1a; 解法一&#xff1a;快速选择算法 解法二&#xff1a;简单粗暴优先级队列 四.库存管理Ⅲ&#xff1a; 解法一&#xff1a;快速选择 解法二&#xff1a;简单粗…

linux ls文件排序

linux可以使用ls命令结合一些选项来按照文件大小对文件和目录进行排序。以下是一些常用的方法&#xff1a; 1、这里&#xff0c;-l 选项表示长格式输出&#xff08;包括文件权限、所有者、大小等&#xff09;&#xff0c;-S 选项表示按照文件大小排序&#xff0c;-h 选项表示以…