信息化觀察網(wǎng)

本文來自微信公眾號“嘶吼專業(yè)版”，作者/小二郎。

無論您的組織是否做好了準(zhǔn)備，與第三方合作伙伴關(guān)系相關(guān)的風(fēng)險都將繼續(xù)增加。2022年，僅在美國就發(fā)生了1802起數(shù)據(jù)泄露事件，泄露了超過4.22億人的信息。雖然這些數(shù)字足以嚇到任何組織，但許多報告預(yù)計，這些數(shù)字將在整個2024年繼續(xù)飆升。

隨著供應(yīng)鏈的擴(kuò)展和漏洞數(shù)量的增加，有一件事是始終不變的：您的組織需要積極地對待第三方風(fēng)險管理（TPRM）。

最好的TPRM程序足夠強(qiáng)大，可以防止嚴(yán)重的數(shù)據(jù)泄露，并且足夠靈活，可以保護(hù)組織免受新出現(xiàn)的威脅困擾。

繼續(xù)閱讀本文，了解您的組織在2024年應(yīng)該注意的TPRM趨勢，并學(xué)習(xí)如何適當(dāng)調(diào)整您的TPRM計劃。

2024年第三方風(fēng)險管理趨勢

1.攻擊面將擴(kuò)大

隨著物聯(lián)網(wǎng)（IoT）技術(shù)的加速采用，組織的攻擊面也將不可避免地擴(kuò)大。而當(dāng)組織管理第三方供應(yīng)商的廣泛供應(yīng)鏈時，這種擴(kuò)展會增加十倍，因為每個供應(yīng)商的攻擊面也在增長。

2019年的一項研究預(yù)測，到2030年，將有超過1240億個物聯(lián)網(wǎng)設(shè)備投入使用。這種巨大的擴(kuò)張可能會帶來毀滅性的后果，因為網(wǎng)絡(luò)犯罪分子正企圖利用數(shù)據(jù)安全基礎(chǔ)設(shè)施薄弱的新端點(diǎn)。2017年，黑客通過入侵一個有wifi功能的魚缸，從一家賭場竊取了10GB的數(shù)據(jù)。

雖然這起事件在當(dāng)時看來很新鮮，但隨著攻擊面擴(kuò)大，類似事件可能會變得越來越常見。組織保護(hù)自身免受這種新興威脅影響的最佳方法是消除盲點(diǎn)，并獲得對整個供應(yīng)鏈的可見性。

2.供應(yīng)商風(fēng)險和漏洞將增加

到2023年底，供應(yīng)商違規(guī)事件的影響將到達(dá)一個驚人的十字路口：組織將繼續(xù)把關(guān)鍵業(yè)務(wù)功能外包給更多的第三方服務(wù)提供商，而供應(yīng)鏈攻擊也將達(dá)到新的復(fù)雜程度。即使是2020年的SolarWinds攻擊，現(xiàn)在估計也是一個涉及1000多名黑客的復(fù)雜工程。

展望未來，網(wǎng)絡(luò)犯罪分子將越來越頻繁地瞄準(zhǔn)供應(yīng)鏈，而不是直接瞄準(zhǔn)個別公司。組織防止此類攻擊的唯一方法是維護(hù)其供應(yīng)商風(fēng)險管理（VRM）計劃，并根據(jù)需要安裝新的保護(hù)措施。

3.供應(yīng)商風(fēng)險和內(nèi)部風(fēng)險將趨同/融合

雖然供應(yīng)商和內(nèi)部風(fēng)險的融合似乎是顯而易見的，但實際情況卻并非總是如此。甚至在五年前，組織還在以不同的理念和網(wǎng)絡(luò)安全策略來處理內(nèi)部和外部生態(tài)系統(tǒng)。一些組織可能仍然配置專門的團(tuán)隊分別專注于TPRM或組織的內(nèi)部安全態(tài)勢。

然而，隨著供應(yīng)鏈的持續(xù)擴(kuò)展以及組織對更多第三方供應(yīng)商的依賴，供應(yīng)商風(fēng)險和內(nèi)部風(fēng)險之間的界限將繼續(xù)模糊。隨著這些界限的模糊，組織將意識到他們的內(nèi)部系統(tǒng)與供應(yīng)鏈中的供應(yīng)商相關(guān)風(fēng)險之間沒有實際的區(qū)別。

展望未來，組織應(yīng)該采取全面的網(wǎng)絡(luò)安全方法，并將供應(yīng)商風(fēng)險管理納入組織的內(nèi)部風(fēng)險計劃中。畢竟，持續(xù)關(guān)注法規(guī)遵從性（下文將詳細(xì)介紹）將要求組織以新的審查水平執(zhí)行供應(yīng)商盡職調(diào)查，因為許多隱私法致力于讓組織對其供應(yīng)商的疏忽負(fù)責(zé)。

為了加強(qiáng)TPRM流程并將其集成到整體安全框架中，組織可以采取的第一步是將所有風(fēng)險數(shù)據(jù)（內(nèi)部或外部）整合到一個安全位置。

4.ESG關(guān)注將升級

隨著消費(fèi)者對可持續(xù)性、人權(quán)和道德商業(yè)實踐的需求不斷增加，環(huán)境、社會和治理（ESG）框架將繼續(xù)受到更多TPRM的關(guān)注。

在整個2023年及未來，組織將尋求與符合其內(nèi)部價值觀的供應(yīng)商建立專門的第三方關(guān)系。目前，還沒有一個被普遍接受的框架作為ESG評估的標(biāo)準(zhǔn)。

然而，隨著以下任何一種ESG框架在特定行業(yè)中變得司空見慣，這種情況可能會迅速改變：

○GRI標(biāo)準(zhǔn)：全球可持續(xù)發(fā)展報告倡議組織（GRI）發(fā)布的一套報告標(biāo)準(zhǔn)；

○SASB標(biāo)準(zhǔn)：可持續(xù)發(fā)展會計準(zhǔn)則委員會（SASB）制定的一系列針對特定行業(yè)的ESG披露標(biāo)準(zhǔn)；

○UNGC標(biāo)準(zhǔn)：聯(lián)合國全球契約組織（UNGC）制定的一套標(biāo)準(zhǔn)；

○TCFD框架：氣候相關(guān)財務(wù)信息披露工作組制定的一套披露體系，旨在披露氣候變化對企業(yè)財務(wù)績效和公司市值帶來的實質(zhì)性影響；

5.自動化將達(dá)到新的高度

雖然一些組織可能仍然使用手動策略進(jìn)行供應(yīng)商風(fēng)險管理，但網(wǎng)絡(luò)安全行業(yè)已經(jīng)不再接受電子表格或手動報告作為最佳實踐。

自動化將繼續(xù)主導(dǎo)未來的對話，因為TPRM的每個階段都變得過于復(fù)雜，無法手動跟蹤。機(jī)器學(xué)習(xí)和人工智能等自動化技術(shù)的持續(xù)崛起，也反映了該行業(yè)致力于領(lǐng)先網(wǎng)絡(luò)犯罪分子的決心。

那些還沒有在TPRM程序中實現(xiàn)自動化的組織可能對隱藏的數(shù)據(jù)風(fēng)險視而不見，因為他們的風(fēng)險預(yù)防策略效率低下且無效。

在TPRM程序中實施自動化將允許組織實現(xiàn)下述目標(biāo)：

○縮短供應(yīng)商風(fēng)險評估流程；

○改善業(yè)務(wù)連續(xù)性和決策能力；

○提高風(fēng)險識別效率；

○實現(xiàn)24/7供應(yīng)商監(jiān)控；

○快速緩解和修復(fù)安全風(fēng)險；

○改善供應(yīng)商關(guān)系；

○高效擴(kuò)展VRM計劃；

6.零日漏洞將繼續(xù)帶來災(zāi)難

在過去兩年中，零日攻擊（在開發(fā)人員意識到漏洞之前發(fā)生的攻擊）的發(fā)生令人震驚。Mandiant在2021年報告了81次零日攻擊，2022年報告了55次。在這136次攻擊中，有幾次非常有效，造成了毀滅性的破壞。隨著黑客繼續(xù)尋找新的漏洞并持續(xù)改進(jìn)其策略，零日攻擊將在整個2023年及未來繼續(xù)產(chǎn)生嚴(yán)重后果。

據(jù)報道，發(fā)生于2023年7月的MOVEit零日攻擊影響了122家組織，暴露了大約1500萬人的數(shù)據(jù)。

為了對抗這種趨勢并防御類似于MOVEit漏洞的攻擊，組織應(yīng)該使用零信任架構(gòu)（ZTA）來改進(jìn)其TPRM程序。數(shù)據(jù)保護(hù)和信息安全的零信任方法允許組織在不犧牲供應(yīng)商關(guān)系的運(yùn)營優(yōu)勢的情況下，提高其第三方風(fēng)險抵御能力。

一些組織（如受拜登總統(tǒng)網(wǎng)絡(luò)安全行政命令監(jiān)管的組織）被要求將ZTA納入其網(wǎng)絡(luò)安全計劃。

在TPRM計劃中實施零信任策略將包括兩個主要步驟：

○安裝供應(yīng)商特權(quán)訪問管理（VPAM）控件；

○在整個供應(yīng)商生命周期中進(jìn)行全面的供應(yīng)商風(fēng)險評估。

在開始開發(fā)新技術(shù)之前，一直忙于新開發(fā)的組織也應(yīng)該考慮項目的網(wǎng)絡(luò)安全風(fēng)險。

7.數(shù)據(jù)隱私法將主導(dǎo)對話

當(dāng)歐盟的《通用數(shù)據(jù)保護(hù)條例》（GDPR）于2018年正式生效時，數(shù)據(jù)隱私的閘門就此打開。聯(lián)合國目前估計，全球71%的國家已經(jīng)實施了某種形式的數(shù)據(jù)隱私制裁。

雖然美國聯(lián)邦政府尚未制定自己的全面數(shù)據(jù)隱私政策，但美國許多州已經(jīng)通過了全面的隱私立法，以保護(hù)州居民的個人信息。

數(shù)據(jù)立法往往進(jìn)展緩慢。然而，隨著規(guī)范現(xiàn)代技術(shù)的法律變得更加普遍，這種情況可能會在2024年發(fā)生變化。

每個組織都應(yīng)該準(zhǔn)備好在未來幾年承受風(fēng)險和遵從性法規(guī)的沖擊。組織還應(yīng)該開始為新的供應(yīng)鏈風(fēng)險做好準(zhǔn)備，因為他們的供應(yīng)商也在同樣的變化條件下前行。

組織應(yīng)該在TPRM程序中實施嚴(yán)格的入駐和供應(yīng)商評估協(xié)議，以在這種趨勢中更好地保護(hù)自己。

參考及來源：https://www.upguard.com/blog/tprm-trends-2024