第三方服务提供商的五大风险

news2024/12/25 12:50:48

 

亚马逊如何应对网络安全挑战

关键网络安全统计数据和趋势

移动优先世界中安全和隐私策略

当今数字时代网络安全的重要性

用户无法停止犯安全错误的 3 个原因

首席安全官可能过于依赖 EDR/XDR 防御

随着业务流程变得越来越复杂,公司开始转向第三方来提高其提供关键服务(从云存储到数据管理再到安全)的能力。

这样做通常效率更高、成本更低,但使用第三方服务也会带来重大(通常是无法预见的)风险。

第三方可能成为入侵的门户,如果服务出现故障,会损害公司的声誉,使公司面临财务和监管问题,并引起世界各地不良行为者的关注。

与供应商分手管理不善也可能带来危险,导致无法访问第三方安装的系统、失去数据保管权或数据本身丢失。

什么是第三方风险管理?

第三方风险管理 (TPRM) 是一种风险管理学科,涉及识别、评估和减轻与使用外部方(例如合作伙伴、供应商、供应商、承包商和服务提供商)相关的风险。

此类第三方通常可以访问您组织的一系列系统和数据,并且他们通常是您组织关键业务运营的关键参与者。

因此,第三方可能会增加您的网络风险状况,因为他们可能引发的任何安全问题都可能对您的组织产生后续影响。

TPRM 也常被称为供应商风险管理,它为组织提供了一个框架,用于识别有权访问组织系统、数据和设施的所有第三方。

它还确保您的组织已根据第三方可以访问的内容、其安全实践以及可能面临的威胁评估了与其使用的每个第三方相关的风险。

为了降低第三方风险,组织必须与其依赖的第三方合作,对其安全实践进行安全评估和审计。

他们还必须建立明确的合同协议,阐明所有相关方的安全期望和责任。

成功的 TPRM 还需要持续的监控和监督,以确保第三方遵守商定的措施,并在出现任何问题时制定事件响应和补救策略。

为什么第三方风险管理很重要?

对第三方服务的依赖正在增加。因此,组织发现自己越来越容易受到其合作伙伴带来的潜在安全问题的影响。

组织越来越依赖第三方,例如技术和云供应商,它们存储敏感数据或访问关键系统。

如果第三方的网络安全控制不力,这种风险会更高。

第三方自己的供应商也有可能受到损害。如果数据或系统受到损害,则影响可能包括品牌和声誉受损、法律和监管罚款或处罚以及补救成本。

使用第三方是许多企业普遍接受的必要条件,但需要持续管理。

第三方合作伙伴关系将控制权转移到公司之外,因此具有固有的商业风险。

考虑到 98% 的全球组织都与至少一家第三方供应商有联系,而这些供应商在过去两年内遭到入侵,因此这一点尤为紧迫。

最大的第三方网络安全风险

以下是第三方服务给您带来的五大网络安全风险:

网络攻击导致客户和公司数据泄露

根据世界经济论坛的《2022 年全球网络安全展望》,间接网络攻击(通过第三方成功入侵公司)在过去几年中从 44% 上升至 61%。

造成这种情况的原因之一是许多公司没有适当的控制措施来有效地摆脱第三方供应商。

他们没有制定流程来控制这些账户的访问管理权限和配置,这为寻找仍然活跃的老账户的网络攻击者打开了方便之门。

威胁行为者可能会滥用从第三方泄露获得的数据来执行各种恶意活动,包括身份盗窃、欺诈、账户滥用和外部账户接管攻击。

威胁行为者经常使用从第三方甚至第四方泄露中获得的泄露凭证和数据来访问其他受害者的环境。

第三方可能会在托管公司数据时受到攻击,或者攻击者首先瞄准第三方,然后利用第三方进入您的 IT 系统。

尽职调查和整个供应商生命周期内对漏洞的持续监控将有助于降低这种风险。

实施纵深防御方法以限制第三方对组织网络的访问对于防止对手获得特权升级至关重要。

因此,公司在允许第三方供应商访问其系统之前必须对其进行全面审查,以确保他们实施了适当的安全协议。

当涉及到谁拥有我们的数据时,第三方始终是一个令人担忧的问题;这就是为什么我们会根据公司面临的网络风险不断评估新的和现有的第三方。

事故成本、业务损失造成的财务风险

入侵的成本可能非常高昂,如果公司没有以正确的方式保护其系统,网络安全保险并不总是能涵盖入侵行为。

财务损失是你的损失,但你的组织声誉也会受损。你会失去客户。

你会失去新客户的信任,你会失去现有客户的信任,因此,你会失去收入来源……而更换现有客户需要花费很多钱。因此,财务损失会迅速累积。

声誉受损,失去客户信任

虽然违规行为可能并非发生在公司内部,但涉及客户公司数据或其客户的第三方服务违规行为,该公司可能不得不发表声明或通知个人。

由于这种下游影响,声誉影响可能远远超过财务损失。

服务提供商违约带来的负面宣传可能会损害公司的声誉或声誉,而公众对企业的负面看法可能源于其供应商名单中的第三方的问题。

客户对第三方提供的服务的投诉是一个很好的迹象,表明存在潜在问题。

客户看不到你的组装、产品、服务以及与他们互动的能力是由第三方支持的。

他们只看到你的名字、你的品牌,以及你无法兑现[你对他们做出的]承诺。

许多组织采取主动措施,确保其第三方是有效的数据保管者。

然而,当第三方拥有自己的供应商供应链时,事情就会变得复杂得多。

随着你继续追踪你的供应商和你的供应商的供应商,你可能很难洞察所有这些实体以及第三方风险计划的成熟度,这些计划正在以你期望的严格程度保护敏感数据。

地缘政治风险

乌克兰战争凸显了组织机构密切关注政治发展并做好应对动荡局势的准备的必要性。

组织机构需要确保在受制裁管辖区内的所有供应商、合作伙伴和合资企业活动都已停止。 

乌克兰战争以及俄罗斯和白俄罗斯的相关制裁并不是唯一需要考虑的地缘政治风险。

在容易发生政权动荡的国家开展业务的供应商,例如军事政变、暴力起义和系统性压迫少数民族,需要进行仔细和持续的监控。

政治动荡往往伴随着国家网络间谍活动的泛滥。组织需要确保第三方供应商彻底审查其承包商是否与已知从事此类活动的政府有联系。

第三方可能会在不知情的情况下雇佣国家派遣的自由职业 IT 远程工作者,为该国的独裁政权创造收入或进入公司网络。

尽管他们在工作期间可能不会参与任何恶意网络活动,但他们可能会利用特权访问从内部进行恶意网络入侵。这使得检测恶意活动变得困难。

监管合规风险

当第三方供应商违反政府法律、行业法规或公司内部流程时,它们也会使组织面临合规风险。

供应商不合规可能会使雇用他们的公司遭受巨额罚款。

例如,组织需要检查其第三方供应商是否符合 SOC2 审计标准。

SOC2 旨在确保第三方保护其客户的敏感数据免遭未经授权的访问。

组织还必须确保第三方遵守隐私和安全法律,例如欧盟的《 通用数据保护条例》(GDPR) 和 《加州隐私权法案》(CPRA)的要求。

合规性是一个巨大的风险,你可能合规并且实施了必要的控制措施,但突然间你把这些第三方也加进来了,如果你不评估[他们是否实施了控制措施],你可能会违反你的合规立场。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1868676.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

PyCharm左侧项目区域出现淡黄色背景如何解决

PyCharm左侧项目区域出现淡黄色背景如何解决 解决方法: 1、打开pycharm 文件 - > Setting-> 项目 -> 项目结构 2、添加内容根 为 你的项目根目录即可恢复

ELK集群设置密码

一、软件安装清单 elasticsearch7.17.22logstash7.17.22kibana:7.17.22filebeat7.17.22elasticsearch-head:5 二、配置 生成证书 进入elasticsearch容器 bin/elasticsearch-certutil cert -out /usr/share/elasticsearch/config/elastic-certificates.p12 -pass将证书拷贝…

6.二叉树.题目3

6.二叉树.题目3 题目17.二叉搜索树中的众数18.二叉树的最近公共祖先19.二叉树搜索树的最近公共祖先20.二叉搜索树中的插入操作。普通二叉树的删除方式 21.删除二叉搜索树中的节点22.修剪二叉树23.将有序数组转化为二叉搜索树24.把二叉搜索树转化为累加树 总结 题目 17.二叉搜索…

Leetcode TOP5 题目和解答:这里只提供一种解题思路,希望引导大家持续学习,可以采用FlowUs息流记录自己的学习

LeetCode 是一个在线编程平台,它提供了大量的算法题目供用户练习。 TOP5题目通常指的是 LeetCode 网站上最受欢迎的前5道题目。 以下是 LeetCode TOP5 题目的列表以及它们常见的解题思路和代码示例。 题目1 两数之和 两数之和 - 1. Two Sum Given an array of int…

Databend 怎么看 OpenAI 收购实时数仓 Rockset?

6月21日(上周五),OpenAI 官方宣布完成对实时分析数据库 Rockset 的收购,一时引起数据库圈和 AI 圈热议,很多朋友也来询问 Databend 如何看待这个事件。这次收购表明了市场对实时数据分析和数据处理解决方案的高度重视,数据是 AI 发…

我在高职教STM32——GPIO入门之按键输入(1)

大家好,我是老耿,高职青椒一枚,一直从事单片机、嵌入式、物联网等课程的教学。对于高职的学生层次,同行应该都懂的,老师在课堂上教学几乎是没什么成就感的。正因如此,才有了借助 CSDN 平台寻求认同感和成就…

android 通过gradle去除aar的重复资源图片

背景:项目中引入了aar包,结果导致资源出问题了,于是需要对下面aar包进行重复资源去除操作 操作具体如下: 目录:app/build.gradle 末尾配置 apply from: "${project.rootDir}/scripts/excludewidgetAar.gradle&qu…

【文件夹加密】文件夹怎么加密码,快来试试这4个方法

文件夹怎么加密?在日常工作中,为了保护我们的文件数据、隐私信息不被泄露,因此文件夹加密非常有必要。文件夹加密技术是通过特定的算法改变文件夹中文件的信息数据,使未授权的用户即使获得了已加密的文件或文件夹,也因…

已解决javax.security.auth.DestroyFailedException:在尝试销毁某个对象时失败的正确解决方法,亲测有效!!!

已解决javax.security.auth.DestroyFailedException:在尝试销毁某个对象时失败的正确解决方法,亲测有效!!! 目录 问题分析 报错原因 解决思路 解决方法 检查对象状态 确认权限设置 检查资源锁定情况 修正实现…

Windows环境下安装MySQL数据库的步骤

说明: 由于环境的不同,安装过程中可能会遇到各种各样的问题,不用慌,先根据错误提示搜索,多试一下。 安装前,请先认真看一下,有可能会遇到的几个问题: 1、证书链问题,一般…

【PyScript】PyScript 基础入门

【PyScript】PyScript 基础入门 PyScript 是一个为了支持 Python 运行在浏览器的开源平台。 1.PyScript 应用程序的创建 PyScript 程序需要以下三个内容 一个提供给浏览器的 index.html 文件。PyScript 的运行环境描述,通常是一个 pyscript.json 或 pyscript.to…

7km远距离WiFi实时图传模块,无人机海上无线传输方案,飞睿智能WiFi MESH自组网技术

在浩瀚无垠的海洋上,无人机正在开启一场前所未有的技术创新。它们不再只是天空的舞者,更是海洋的守望者,为我们带来前所未有的视野和数据。而这一切的背后,都离不开一项创新性的技术——飞睿智能远距离WiFi实时图传模块与无线Mesh…

热门开源Text2SQL框架

Chat2DB 项目地址:https://github.com/chat2db/Chat2DB简介:Chat2DB是一个通用的SQL客户端和数据分析工具,能够辅助生成SQL,同时支持对话式的数据分析功能,提供了网页、客户端2种使用方式,它支持几乎所有流…

[图解]SysML和EA建模住宅安全系统-01-包图

1 00:00:01,400 --> 00:00:04,870 得到这个之后,我们就来画我们的包图了 2 00:00:05,350 --> 00:00:07,940 我们来看包图的内容 3 00:00:09,750 --> 00:00:12,430 名字是这个,模型组织 4 00:00:13,820 --> 00:00:20,570 然后上面&#xf…

Xilinx FPGA:vivado用串口控制数码管

一、项目要求 要求输入从千位到个位数字给4位数码管,要求分别输入的数字都能显示 二、关键信号流向 三、程序设计 顶层: timescale 1ns / 1ps module TOP(input sys_clk ,input rst_n ,input rx_…

基于LangChain构建RAG应用

前言 Hello,大家好,我是GISer Liu😁,一名热爱AI技术的GIS开发者,上一篇文章中我们详细介绍了RAG的核心思想以及搭建向量数据库的完整过程;😲 本文将基于上一篇文章的结果进行开发,主…

@RequestParam注解的使用及源码解析

前言 RequestParam 注解是我们进行JavaEE开发,最常见的几个注解之一,这篇博文我们以案例和源码相结合,帮助大家更好的了解RequestParam 注解 使用案例 1.获取 URL 上的值 GetMapping("/simple") public String simple(RequestP…

MySQL自学教程:1. MySQL简介与安装

MySQL简介与安装 一、MySQL简介二、MySQL安装(一)Windows系统上的安装(二)Linux系统上的安装(以Ubuntu为例)(三)Mac OS系统上的安装三、安装后的基本配置四、总结一、MySQL简介 MySQL是一个流行的开源关系型数据库管理系统(RDBMS),广泛应用于各种业务场景,从小型个…

2024肥晨赠书活动第三期:《前端工程化:基于Vue.js 3.0的设计与实践》

文章目录 内容简介作者简介关于《前端工程化:基于Vue.js 3.0的设计与实践》文章目录文章简介《前端工程化:基于Vue.js 3.0的设计与实践》全书速览结束语 内容简介 本书以Vue.js的3.0版本为核心技术栈,围绕“前端工程化”和TypeScript的知识点…

保姆级本地部署Qwen2

重点:Qwen2提供了CPU与GPU两种运行方式 运行成功效果图: 前提说明:如果需要用GPU,那么请在物理机安装ubuntu系统,不然显卡驱动很难安装,不建议新手部署。训练微调模型需要用到GPU。本文仅以ubuntu系统演示…