你是否還未關(guān)注第三方訪問導(dǎo)致的安全風(fēng)險(xiǎn)?
2016年5月,Soha第三方咨詢小組對(duì)200多名企業(yè)IT和安全高管、董事、經(jīng)理進(jìn)行了調(diào)查,意圖找出由于第三方訪問而導(dǎo)致的IT風(fēng)險(xiǎn)和日常挑戰(zhàn)。結(jié)果表明,98%的受訪者不認(rèn)為第三方訪問是IT項(xiàng)目和預(yù)算分配的第一要?jiǎng)?wù)。
絕大多數(shù)受訪者承認(rèn),提供第三方訪問是個(gè)復(fù)雜而又繁瑣的過程。為應(yīng)用開辟安全第三方訪問通道的復(fù)雜程度,直接導(dǎo)致IT部門平均要處理4.6個(gè)設(shè)備,比如VPN、防火墻、目錄等等。從安全角度看,這已經(jīng)構(gòu)成了問題。有研究揭示,63%的數(shù)據(jù)泄露是由第三方造成,或與第三方有關(guān)。第三方廠商應(yīng)該僅僅對(duì)支持業(yè)務(wù)必需的應(yīng)用擁有訪問權(quán),再多就不能給了。
基于調(diào)查結(jié)果,這個(gè)由安全專家、分析師和業(yè)界大拿組成的咨詢小組被問到了第三方訪問安全趨勢(shì)問題,比如IT從業(yè)者應(yīng)該怎樣保障自身網(wǎng)絡(luò)安全,以及確保第三方訪問安全。
當(dāng)前最主要的安全第三方訪問趨勢(shì)
當(dāng)下兩大第三方訪問趨勢(shì)與不斷延伸的職場(chǎng)和越來越多的監(jiān)管要求有關(guān)。職場(chǎng)的延展帶來了外包比重的增加。隨著外包逐年增長(zhǎng),它呈現(xiàn)的問題——尤其是當(dāng)今越來越多的安全威脅,給訪問需求和供應(yīng)引入了一層新的復(fù)雜性和挑戰(zhàn)。
市場(chǎng)對(duì)許多IT驅(qū)動(dòng)領(lǐng)域公司的需求,嚴(yán)重依賴于B2B(企業(yè)對(duì)企業(yè)的電子商務(wù)模式)訪問,不僅后端訪問需要,對(duì)應(yīng)用的直接訪問也需要。云功能及其實(shí)現(xiàn)導(dǎo)致了這些市場(chǎng)需求的指數(shù)級(jí)增長(zhǎng)。
對(duì)托管敏感數(shù)據(jù)(比如:與金融相關(guān)的個(gè)人身份識(shí)別信息,或健康信息)的公司企業(yè)的監(jiān)管要求也在增長(zhǎng)。全球政府都在增加涉消費(fèi)者信息處理或存儲(chǔ)的安全要求。
而今天最常見的訪問改善則存在于多因子身份驗(yàn)證和策略領(lǐng)域,但最大的趨勢(shì),還是與企業(yè)怎樣評(píng)估所有第三方的安全品質(zhì)和表現(xiàn)有關(guān)。特別是,通過評(píng)估第三方管理其自身安全的能力,合作伙伴也就能更好地評(píng)估與允許訪問相關(guān)聯(lián)的風(fēng)險(xiǎn)了。
而從供應(yīng)鏈合作伙伴的角度出發(fā),很多企業(yè)如今已開始要求第三方安全合規(guī)。企業(yè)正部署能提供供應(yīng)鏈合作伙伴安全態(tài)勢(shì)評(píng)估的解決方案。這些信息被用于評(píng)估廠商風(fēng)險(xiǎn),觸發(fā)訪問決策。
安全第三方訪問態(tài)勢(shì)需安全從業(yè)人員關(guān)注
由于其多樣性,第三方訪問非常復(fù)雜。因此,只在絕對(duì)必要的時(shí)候,第三方才會(huì)被優(yōu)先考慮。
企業(yè)經(jīng)常尋求通用解決方案。畢竟,第三方訪問范圍之廣,可從幾乎相當(dāng)于雇員的合資伙伴,到警報(bào)監(jiān)控或僅偶爾連接一下的空調(diào)訪問提供商。
而且,IT和安全從業(yè)者也做不到準(zhǔn)確有效的溝通,或者不知道涉第三方數(shù)據(jù)泄露會(huì)帶來的損失或風(fēng)險(xiǎn)。波耐蒙研究所《2015數(shù)據(jù)泄露損失研究全球分析》表明,企業(yè)內(nèi)被泄露數(shù)據(jù)每條記錄的損失是217美元。而當(dāng)有第三方涉入,該損失會(huì)上升至233美元每條。
了解并能夠量化損失,可幫助企業(yè)獲得更多預(yù)算以解決第三方訪問之類的問題。也應(yīng)該明白,任何安全項(xiàng)目中一直以來都是最脆弱一環(huán)的口令,依然是訪問控制的最主要方式。盡管有多因子身份驗(yàn)證系統(tǒng)可用,很多公司卻因?yàn)橘M(fèi)用、復(fù)雜性和接受難度等問題而并沒有部署實(shí)現(xiàn)。
這一困難讓IT團(tuán)隊(duì)只能轉(zhuǎn)向更簡(jiǎn)單的方法,比如給第三方廠商提供與本公司雇員同等級(jí)的訪問權(quán)限等。雖然這種方法方式確實(shí)遵從了公司內(nèi)部IT資源規(guī)程,但也給公司帶來了更大的未知的風(fēng)險(xiǎn)。
不過,第三方問題也可歸結(jié)到企業(yè)責(zé)任上來。廠商風(fēng)險(xiǎn)管理團(tuán)隊(duì)依靠IT團(tuán)隊(duì)來建議第三方訪問解決方案,而一套易用的解決方案顯然會(huì)獲得更大的采用可能。另外,解決方案提供商需要對(duì)用戶體驗(yàn)多加注意,也要理解IT資源限制會(huì)給企業(yè)帶來不同的操作優(yōu)先級(jí)。
企業(yè)應(yīng)怎樣應(yīng)對(duì)安全第三方訪問
資產(chǎn)清單是經(jīng)常被遺忘而又超級(jí)有用的安全挑戰(zhàn)及訪問情況概覽工具。持續(xù)補(bǔ)充完善資產(chǎn)清單并進(jìn)行跟蹤,可以有效降低聯(lián)網(wǎng)資產(chǎn)不合規(guī)的風(fēng)險(xiǎn)。
確保第三方訪問安全依賴于用例。外部承包商、雇員和B2B實(shí)體應(yīng)采用符合他們風(fēng)險(xiǎn)狀況的訪問控制,包括:隔離、加密、聯(lián)合集成。
很多企業(yè)現(xiàn)在已經(jīng)著手實(shí)現(xiàn)對(duì)第三方廠商的安全策略了,比如:定義風(fēng)險(xiǎn)度量標(biāo)準(zhǔn)以客觀評(píng)估風(fēng)險(xiǎn),設(shè)置固有風(fēng)險(xiǎn)(IR)計(jì)劃以解決合規(guī)偏差和風(fēng)險(xiǎn),打造整個(gè)企業(yè)范圍的端到端安全和風(fēng)險(xiǎn)視圖。
