企业如何防御第四方风险

2021年9月24日作者：GoUpSec

在今天这个高度互联的世界中，企业不但面临来自供应商的第三方安全风险，更要提防第四方风险——供应商的供应商。第四方风险不但攻击面更大，而且也同样很容易影响和传导到企业自身。

最近发生的供应链攻击，诸如SolarWinds漏洞、Microsoft Exchange服务器攻击和Fastly中断等事件表明，传统的第三方风险管理(TPRM)程序不足以生提供对供应链风险的必要可见性。

由于第四方通常没有义务与其客户的合作伙伴共享信息，因此很多企业已经开始着手调整其TPRM计划以解决第四方风险问题。幸运的是，公司可以采取一些措施来提高他们对下游风险的了解和保护。

了解您的第三方合作伙伴

尽管企业对第四方风险威胁的认识不断提高，但尚未为第四方建立明确的安全策略指导方针和统一的流程，从而导致脱节的临时流程。这些流程中的大多数是手动的，需要大量的时间和劳动力投资，并可能出现错误和疏忽。

针对该漏洞，建议企业采取以下措施限制第四方风险：

确定关键任务供应商

第一步也是最重要的一步是确定对公司至关重要的供应商，然后确定他们的第三方。在供应商风险评估过程中，公司应向第三方合作伙伴索取其关键供应商的列表，以及他们可以访问哪些敏感数据。他们还应要求第三方通知他们他们希望对其第三方关系进行的任何更改。

然而，即使供应商提供了所要求的信息，在第四方级别的信息报告和可访问性方面仍然存在问题，因为第三方可能缺乏执行尽职调查的资源或可能不愿意共享敏感信息。

出于这个原因，利用好每个可用来进行源验证的数据很重要，包括获取第三方使用的开源软件列表、他们的业务连续性和灾难恢复计划、他们的互联网安全管理系统以及他们使用的互联网技术他们的网站和IT供应链。

寻找集中化风险

对于企业而言，对其整体供应商组合进行更广泛的审查以识别多个供应商共有的任何第四方也很重要。即使一家公司的第三方供应商基础各不相同，但如果其供应商在其关键职能上利用同一家供应商，它仍可能面临集中风险。

例如，微软Azure、谷歌云、亚马逊云等公共云服务商，它们被全球数以万计的公司使用。如果这些巨头之一倒闭，其影响可能波及多个供应商，对公司构成严重风险。最近的Kaseya供应链攻击与Solarwinds类似，是对单个公司的软件产品的攻击造成破坏性后果的另一个例子，该产品已影响到其全球数千名客户。对第四方集中风险的可见性使公司能够更快地识别和响应威胁。

建立持续监控策略

由于公司与第四方没有直接的合同关系，管理他们的风险比监督第三方的风险更具挑战性。关键是扩大现有TPRM计划的范围，以包括对第四方的监控。

第一步是让公司了解他们的第三方如何监控他们的供应商。这包括直接监控（即他们正在做什么来监控他们的第三方）和一般供应商管理（即他们是否有自己的供应商管理程序以及它的有效性如何）。公司可以通过定期绩效评估以及年度风险和尽职调查重新评估来提出这些问题。完成此实践的最佳方法是使用正确的技术，通过不断不断增加数据源收集数据来持续评估威胁。

最后，尤其是对于关键任务供应商，企业应持续监控其第四方，而不是等到第三方提供违规通知。通过主动监控降低风险，整个供应商生态系统变得更安全、更高效。

自动化和编排是关键

监控第四方的一种方法是选择一个供应商风险管理解决方案，该解决方案可在所有风险域中自动化和协调TPRM程序。先进的风险管理方案能使用自然语言处理和复杂的数据，不断地从人、文档和机器收集信息，执行分析并在数据源之间创建反馈循环。这可以从第三方及其他方面提供可运营的风险洞察，最终降低风险和运营成本，同时提高准确性和企业绩效。

这些解决方案使公司能够前所未有地了解第四方风险并消除集中风险——为安全专家节省大量工作，并使他们能够专注于更高价值的任务。