第三方风险挑战持续加大 建立软件供应商风险管理体系应关注哪些重点

首页 / 业界 / 资讯 /  正文
作者:七月
来源:安全419
发布于:2023-03-16
数字化转型大潮之下,随着业务流程变得越来越复杂,越来越多的企业开始采用第三方服务,主要集中在包括云存储、数据管理等业务,这里当然也包括网络安全这一专业性极强的关键性共组,通常来看,让专业的服务机构去完成部分工作,要远比自建团队、体系已拥有相应的能力要合适的多——应用速度快,成本可能会更低,且效果普遍会更优。
 


当然,使用第三方服务也会带来一些重大的风险,而且大多是事前难以预见的风险,比如因为第三方遭到入侵导致服务出现故障,业务系统宕机,其损失必然会降临到使用这些第三方服务的企业身上。事实上,因为第三方问题导致企业受损在近几年来已屡见不鲜,这也是为何供应链攻击会成为近两年最值得关注以及讨论最多的威胁领域之一。
 
但不可否认的是,企业对第三方服务的依赖性仍然持续提升,而这种链条并非是单纯的一对一关系,因为和企业建立合作关系的第三方服务提供商本身也还是依靠其他的供应商来完成,这种链条式的服务关系在风险来临时,也有极大的可能会传导到该链条上的所有环节。那么使用第三方服务到底可能会带来哪些风险?
 
一、企业及其客户因第三方服务供应商遭网络攻击而受损
 
这是供应链攻击最为常见的风险之一,根据世界经济论坛发布的《2022年全球网络安全展望》中的内容显示,通过第三方成功侵入企业的间接网络攻击此前的44%增加到61%,这一数据有些触目惊心。在我们看来,出现这种情况原因无外乎大多数企业都并没有针第三方供应商制定合理的控制措施,包括对其访问企业信息系统的访问权限和配置是否合理等等,这等于无形中自己主动给攻击者敞开了大门。
 
攻击者通过攻破第三方所获得数据将有极大的可能被滥用,发动包括身份窃取、商务欺诈、账户接管等攻击,当然,通过第三方甚至第四方窃取的凭证也有极大的概率被用于入侵其上下游用户,继续发动更多、更大的攻击行为,在这一过程中,相关企业的敏感数据、客户信息等等都有可能因此而惨遭窃取、泄露。
 
通过建立纵深防御的安全体系去限制第三方对企业网络的访问,对于防止攻击者获得特权是非常重要的,因此,在允许任何一个第三方供应商访问自己的系统之前,必须要对其进行全面审查,以确保他们已经拥有适当的安全流程。简单地说,就是将数据视作企业非常昂贵的资产,当涉及到谁能够去动用它们的时候,就必须对其进行评估和审查,甚至还需在后续不断进行这项工作,以确保对方的安全流程持续有效,这理应成为企业应对此类风险的基础操作。
 
二、声誉受损失去客户信任将带来后续严重后果
 
虽然我们都清楚并不是所有的数据泄露事件都是因公司内部的问题而导致的,但当涉及到客户企业数据或其客户的第三方服务数据泄露时,那些受害者可能并不会这么想,即便通过发表声明、挨个通知每一位受害者都是必须要做的,但其背后的损失依然造成了——企业声誉受到负面影响,严重者还会彻底失去客户的信任。这一切的后果可并不一定都是能通过金钱来解决的,更重要的是,它甚至还可能会影响企业未来的营收——每因此而失去一个客户,就失去一个收入来源。
 
因第三方服务供应商导致企业在公众心目中产生负面印象的案例可谓比比皆是,但在当前的舆论环境之下,有时候企业的解释会被视作“甩锅”行为,毕竟公众乃至客户是看不到企业所提供的产品、服务或其他能力是第三方支持的,他们所看到的只有企业的名字和产品品牌。毫无疑问,无形的损失已经因此而产生了,而且还有极大的可能会带来后续一系列的负面影响,而企业为了消除它还要付出高昂的代价。
 
三、合规风险
 
当第三方供应商违反法律、行业法规或内部流程时,也会令企业面临合规风险。供应商的不合规行为可能会使与其合作的企业收到巨额罚单。
 
因此审查第三方供应商是否符合如SOC2等审计标准,以评估其相关安全性、可用性、过程完整性、保密性和隐私性相关控制的设计适当性和执行有效性等等,另外,如果业务涉及全球不同的地区,还必须要审查并确保第三方供应商是否遵从当地的法律法规,如中国的《网络安全法》、《数据安全法》以及《个人信息保护法》,欧洲的《通用数据保护条例》(GDPR),美国的《加州隐私权法案》(CPRA)等等。
 
总体来说,一旦合规出现问题,将会成为带来巨大的风险。尽管企业可以确保自身能够满足各种法律法规的要求,并采取必要的控制措施,但当引入第三方供应商时,缺少评估或不够严格,风险就会潜藏,当其爆发时,自己所做的一切合规努力都白费了。
 
四、地缘政治风险
 
虽然谁也不想受制于人,但有时候确实没什么更好的办法,一年前爆发的俄乌冲突在很多方面都给所有人上了一课。和本文最为相关的就是两个字——制裁。如果企业的供应商中有本国或其他合作国家制裁的企业,那么很有可能连带遭受不必要的“治理”。
 
坦率地说,这类极端事件所导致的风险有时候是难以预知的,但经过俄乌冲突之后,在选择第三方供应商时,都需结合不同地区业务去做考量,以避免可能会出现的极端情况,令自己处在不利的境地。
 
软件供应商风险管理实践参考
 
做好对第三方供应商的风险管理并不是一件轻松的事情,但是业内的确有很多相关内容可以借鉴,我们以悬镜安全发布的《软件供应链安全白皮书(2021)》为例,看看他们所建议的软件供应商风险管理应当是怎样的。
 
软件供应商基本风险管理流程图(图片来源:悬镜安全)

通过上图可以看出,悬镜安全给出的管理流程包括四个步骤,具体如下:
 
标准确立:结合企业的实际情况,构建软件供应商评估模型,制定软件供应商考核的评估标准及安全框架;
 
资格评估:根据制定的软件供应商评估模型和相关标准,对初步符合要求的软件供应商进行多维度的综合性资格评估,选出匹配度最高的供应商;
 
风险评估:对通过资格评估的软件供应商进行安全风险评估,针对软件供应商面临的潜在的安全风险、存在的弱点 以及有可能造成的影响综合分析其可能带来的安全风险进行评估;
 
风险监控:对软件供应商实施长期性的安全风险监控,持续识别和管理软件供应商的安全风险,根据监测结果实施更新软件供应商的风险管理策略。
 
软件供应商评估模型(图片来源:悬镜安全)

在软件供应商评估方面,除了正常的财务实力、技术储备、合作能力、软件交付能力、服务能力、创新能力、软件成本和软件适用性等方面之外,在安全方面要着重评估以下几个方面:
 
质量承诺:评估软件供应商的相关软件产品是否符合国家及行业标准要求,信息安全和数据保护控制流程必须遵 守法律、监管或合同义务以及任何行业标准的信息安全要求;
 
企业资质:评估软件供应链上的第三方供应商是否能够提供软件安全开发能力的企业级资质,是否具备国际、国家或行业的安全开发资质,在软件安全开发的过程管理、质量管理、配置管理、人员能力等方面是否具备一定的经验,具有把安全融入软件开发过程的能力;
 
应急响应能力:评估软件供应商从软件开发到运营阶段是否持续实行实时监控机制,是否有利用适当的网络和基 于端点的控制来收集用户活动、异常、故障和事件的安全日志,是否具有适当的业务连续性和恢复能力,以防止或减轻业务中断和相关影响;
 
内部管理能力:评估软件供应商是否拥有完善的内部管理制度流程、有效的风险防范机制以及是否对员工定期进行安全培训等,对供应商内部安全开发标准和规范进行审查,要求其能够对开发软件的不同应用场景、不同架构设计、不同开发语言进行规范约束,审查软件供应商对其自身信息安全保密程度。
 
如前文所述,在当前数字化浪潮的冲击下,对许多企业来说,使用第三方供应商提供的服务、产品已经渐渐成为一种必要的选择,这一方式在当前也已被广泛接受。事实上,我们并不能因为第三方供应商可能带来的潜在风险而拒绝使用它们,因噎废食的行为并不利于企业发展,只是我们必须要关注到,通过与第三方的合作可能会带来的固有风险,因为这种模式的确将某些方面的控制能力转移到的企业之外,因此对于第三方供应商在安全方面的评估、管理措施必须同步跟上,尤其是在近两年针对供应链发动的网络攻击数量与日俱增的情况下。