量化供应链潜在风险

参照木桶效应,企业的安全取决与于它的“短板”。攻击者也深谙这一点,攻击对像往往是普通员工,通过钓鱼活动、恶意链接、欺诈网站等方式来获取权限、账号信息,从而渗透到企业网络是攻击者常用的伎俩。另一个方面,在企业的供应链中,亦存在“短板”,信息安全薄弱的供应商可被攻击者利用,成为攻击企业的“捷径”。

2017 Baker&Hostetler的数据安全事件响应报告显示,在企业面临的网络攻击中,43%涉及网络钓鱼及恶意软件,其中32%的事件是因人为错误导致的。企业可通过对员工的培训和网络安全教育的投入,来降低这类情况发生的概率。但更加棘手的是对供应链上的隐藏风险的发现与处置

随着经济全球化,企业可能会与来自全球各地的供应商合作。这些供应商根据当地法律、规则,执行不同的网络安全标准,因此,对供应商的审计工作也难以开展。这一状况,给攻击者带来了可乘之机,攻击者不仅可以直接对目标企业发起进攻,还可以在目标企业的供应链中找出薄弱环节,比如安全松懈的供应商,从而轻易的达成目标。

对于企业,受制于供应商数量大、安全意识及能力参差不齐,无法进行具备时效性及客观性评估等众多因素,对供应商的风险管理难以开展,通常只能通过合约来进行约束,但对第三方供应商是否能够落实责任、有效的执行合约,同样没有好的办法来评估。无论是已合作供应商的潜在风险,还是引入一家新供应商带来的新风险,都是难以识别、管理的。为解决这一难题,一项新的服务诞生了——“安全评级服务”。

安全评级服务(SRS, Security Rating Services)

Gartner将其定义为“为组织实体提供持续的、独立的、量化的安全分析和评级服务”。通过安全评级服务、对组织的安全状况进行综合评估和对比,可提高组织和第三方的风险管理能力。

Gartner估计,到2020年,全球财富500强企业中有75%将把供应商风险的管理视为董事会层面的举措,以降低品牌声誉风险。

来自澳洲的研究咨询公司Security in Depth推出了一项新服务致力于减少供应链中相关的风险。该公司CEO Michael Connory在接受《计算机世界》采访时表示,这项被称为“网络安全风险评级”的服务将根据企业的网络安全成熟度进行评级,并给出“信用评分”。这个分数可以告诉企业,新的供应商是否会给企业网络和安全带来威胁。

“当一个企业寻找一个新的供应商谋求合作时,若从集成的角度看,意味着一个外部的组织可能会与企业的人力资源系统或财务系统对接,或是共享某些项目文件。我们在做的就是去审查这些供应商,找出最大的风险在哪里。于此,企业即可做出更好的决策,确认是否要共享数据。

Security in Depth的服务分为三个层面,首先,基于行业及规模对供应商进行评级,其次,对供应商进行安全审计,以查看它们是否符合相应的安全标准、法律法规,第三层则是对供应商关键系统的持续监控和漏洞扫描。

安全评级服务企业概况

据统计,目前全球专业从事安全评级服务的企业近10家,最早成立的PREVALENT注册时间为2004年。其中,除了UpGuard及安全值外,全部企业均在美国注册。(UpGuard原为一家澳洲初创企业,后把总部搬到了旧金山;安全值为中国团队,总部在北京)。

目前,国内“安全评级服务”的市场认知度并不高,但随着网络环境及企业关系的复杂化,“安全评级服务”将大有可为,不仅可以让企业决策者更清楚地了解其供应链中的安全弱点,供应商还可以通过评级了解可能影响当前和未来业务的安全隐患而获益。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。