几乎每家公司都跟遭受过数据泄露的第三方有业务往来,或者使用其产品,导致自身风险有所增加。

以上结论出自数据科学公司Cyentia Institute,该公司分析了网络安全风险管理公司SecurityScorecard提供的23万家企业的外部安全评估。分析发现,企业平均拥有大约10家第三方关系,而间接第四方关系更是高达数百家,一家企业的第四方数量通常高出第三方数量60到90倍。分析报告指出,几乎所有公司(98%)都至少与一家遭遇过数据泄露的第三方合作伙伴存在业务往来。

IT行业的第三方数量是最多的,平均25家,而金融行业的第三方数量最少,平均6.5家。如果将第四方关系纳入考量,这些数字就急速膨胀了,风险也随之增加。分析发现,公司平均拥有200家遭遇过数据泄露的间接第四方关系。

Cyentia Institute创始人兼合伙人Wade Baker表示,这项研究凸显出企业第三方及第四方关系错综复杂的情况,也反映出这种情况可能导致企业面临的风险急剧上升。

“风险下沉。”他说道,“相比第三方,第一方更有可能获得不错的安全风险评分;而与第四方相比,得分差距就更大了。你得预期这些公司和产品达不到你的安全标准。”

Cyentia和SecurityScorecard在分析报告中指出,这是因为,尽管很多企业自己的网络风险管理日趋成熟,但几乎都没认识到延伸出去的风险。

“很多企业仍旧没有意识到第三方关系固有的依赖项和暴露,单纯只专心管理自己的安全态势。”报告写道,“其他企业知道这些问题,但不会根据安全做出供应商决策,也不会或不要求供应商符合某些标准。甚至确实设置了第三方安全要求的公司也难以持续监测合规和进展情况。”

图:几乎所有公司都与过去两年内遭遇过数据泄露的第三方有业务往来

近些年来,第三方和供应链风险已经成了巨大问题。自从暖通空调供应商被黑导致零售巨头Target惨遭数据泄露以来,各家公司的首席信息安全官(CISO)就越来越警惕自己的第三方供应商了。

虽然这项分析研究的第三方风险,第三方的定义却不仅仅包括供应商和合作伙伴,还涉及软件提供商和开源项目。如今,对SolarWinds等软件供应商的恶意攻击,以及Log4J等广泛使用的软件组件中的漏洞,提起了人们对这类风险的关注。

报告声称,第三方关系中含有的五大技术是Google Analytics、Google Tag Manager、Amazon Web Hosting、PHP和Facebook产品,三分之二(68%)的第三方关系都涉及这些技术。

Backer称:“很多这种第三方和第四方关系都让我们仅仅因为使用了某个产品就要同意遵守某些策略,就是让我们某种程度上直面风险。”

每一跳都在增加风险

分析还发现,第三方的安全情况通常比不上自己所服务的公司。总体而言,第三方存在安全问题的概率要高得多,也就是说,公司不能假设自己的所有第三方都勤于安全。

“在我看来,这个问题就跟我们所有人都知道我们权限过剩一样——人们可以访问的数量超出了工作所需。“Baker说道,”最好减少第三方的数量,尤其是在不需要第三方的情况下。另外,好歹挑一下第三方。”

不过,除了提起对此问题的关注,分析数据并未提出明确的解决路线。例如,Baker就没建议企业砍掉最底层的那25%的第三方。但是他认为,更细致或更频繁地评估第三方会更现实一点。

Baker称:“如果我们真心想要保护供应链,我们就必须加强最弱的一环。我觉得,这项分析暴露出第三方和第四方存在大量薄弱环节,这就是挑战所在。”

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。