第三方服务提供商的五大风险

 

亚马逊如何应对网络安全挑战

关键网络安全统计数据和趋势

移动优先世界中安全和隐私策略

当今数字时代网络安全的重要性

用户无法停止犯安全错误的 3 个原因

首席安全官可能过于依赖 EDR/XDR 防御

随着业务流程变得越来越复杂,公司开始转向第三方来提高其提供关键服务(从云存储到数据管理再到安全)的能力。

这样做通常效率更高、成本更低,但使用第三方服务也会带来重大(通常是无法预见的)风险。

第三方可能成为入侵的门户,如果服务出现故障,会损害公司的声誉,使公司面临财务和监管问题,并引起世界各地不良行为者的关注。

与供应商分手管理不善也可能带来危险,导致无法访问第三方安装的系统、失去数据保管权或数据本身丢失。

什么是第三方风险管理?

第三方风险管理 (TPRM) 是一种风险管理学科,涉及识别、评估和减轻与使用外部方(例如合作伙伴、供应商、供应商、承包商和服务提供商)相关的风险。

此类第三方通常可以访问您组织的一系列系统和数据,并且他们通常是您组织关键业务运营的关键参与者。

因此,第三方可能会增加您的网络风险状况,因为他们可能引发的任何安全问题都可能对您的组织产生后续影响。

TPRM 也常被称为供应商风险管理,它为组织提供了一个框架,用于识别有权访问组织系统、数据和设施的所有第三方。

它还确保您的组织已根据第三方可以访问的内容、其安全实践以及可能面临的威胁评估了与其使用的每个第三方相关的风险。

为了降低第三方风险,组织必须与其依赖的第三方合作,对其安全实践进行安全评估和审计。

他们还必须建立明确的合同协议,阐明所有相关方的安全期望和责任。

成功的 TPRM 还需要持续的监控和监督,以确保第三方遵守商定的措施,并在出现任何问题时制定事件响应和补救策略。

为什么第三方风险管理很重要?

对第三方服务的依赖正在增加。因此,组织发现自己越来越容易受到其合作伙伴带来的潜在安全问题的影响。

组织越来越依赖第三方,例如技术和云供应商,它们存储敏感数据或访问关键系统。

如果第三方的网络安全控制不力,这种风险会更高。

第三方自己的供应商也有可能受到损害。如果数据或系统受到损害,则影响可能包括品牌和声誉受损、法律和监管罚款或处罚以及补救成本。

使用第三方是许多企业普遍接受的必要条件,但需要持续管理。

第三方合作伙伴关系将控制权转移到公司之外,因此具有固有的商业风险。

考虑到 98% 的全球组织都与至少一家第三方供应商有联系,而这些供应商在过去两年内遭到入侵,因此这一点尤为紧迫。

最大的第三方网络安全风险

以下是第三方服务给您带来的五大网络安全风险:

网络攻击导致客户和公司数据泄露

根据世界经济论坛的《2022 年全球网络安全展望》,间接网络攻击(通过第三方成功入侵公司)在过去几年中从 44% 上升至 61%。

造成这种情况的原因之一是许多公司没有适当的控制措施来有效地摆脱第三方供应商。

他们没有制定流程来控制这些账户的访问管理权限和配置,这为寻找仍然活跃的老账户的网络攻击者打开了方便之门。

威胁行为者可能会滥用从第三方泄露获得的数据来执行各种恶意活动,包括身份盗窃、欺诈、账户滥用和外部账户接管攻击。

威胁行为者经常使用从第三方甚至第四方泄露中获得的泄露凭证和数据来访问其他受害者的环境。

第三方可能会在托管公司数据时受到攻击,或者攻击者首先瞄准第三方,然后利用第三方进入您的 IT 系统。

尽职调查和整个供应商生命周期内对漏洞的持续监控将有助于降低这种风险。

实施纵深防御方法以限制第三方对组织网络的访问对于防止对手获得特权升级至关重要。

因此,公司在允许第三方供应商访问其系统之前必须对其进行全面审查,以确保他们实施了适当的安全协议。

当涉及到谁拥有我们的数据时,第三方始终是一个令人担忧的问题;这就是为什么我们会根据公司面临的网络风险不断评估新的和现有的第三方。

事故成本、业务损失造成的财务风险

入侵的成本可能非常高昂,如果公司没有以正确的方式保护其系统,网络安全保险并不总是能涵盖入侵行为。

财务损失是你的损失,但你的组织声誉也会受损。你会失去客户。

你会失去新客户的信任,你会失去现有客户的信任,因此,你会失去收入来源……而更换现有客户需要花费很多钱。因此,财务损失会迅速累积。

声誉受损,失去客户信任

虽然违规行为可能并非发生在公司内部,但涉及客户公司数据或其客户的第三方服务违规行为,该公司可能不得不发表声明或通知个人。

由于这种下游影响,声誉影响可能远远超过财务损失。

服务提供商违约带来的负面宣传可能会损害公司的声誉或声誉,而公众对企业的负面看法可能源于其供应商名单中的第三方的问题。

客户对第三方提供的服务的投诉是一个很好的迹象,表明存在潜在问题。

客户看不到你的组装、产品、服务以及与他们互动的能力是由第三方支持的。

他们只看到你的名字、你的品牌,以及你无法兑现[你对他们做出的]承诺。

许多组织采取主动措施,确保其第三方是有效的数据保管者。

然而,当第三方拥有自己的供应商供应链时,事情就会变得复杂得多。

随着你继续追踪你的供应商和你的供应商的供应商,你可能很难洞察所有这些实体以及第三方风险计划的成熟度,这些计划正在以你期望的严格程度保护敏感数据。

地缘政治风险

乌克兰战争凸显了组织机构密切关注政治发展并做好应对动荡局势的准备的必要性。

组织机构需要确保在受制裁管辖区内的所有供应商、合作伙伴和合资企业活动都已停止。 

乌克兰战争以及俄罗斯和白俄罗斯的相关制裁并不是唯一需要考虑的地缘政治风险。

在容易发生政权动荡的国家开展业务的供应商,例如军事政变、暴力起义和系统性压迫少数民族,需要进行仔细和持续的监控。

政治动荡往往伴随着国家网络间谍活动的泛滥。组织需要确保第三方供应商彻底审查其承包商是否与已知从事此类活动的政府有联系。

第三方可能会在不知情的情况下雇佣国家派遣的自由职业 IT 远程工作者,为该国的独裁政权创造收入或进入公司网络。

尽管他们在工作期间可能不会参与任何恶意网络活动,但他们可能会利用特权访问从内部进行恶意网络入侵。这使得检测恶意活动变得困难。

监管合规风险

当第三方供应商违反政府法律、行业法规或公司内部流程时,它们也会使组织面临合规风险。

供应商不合规可能会使雇用他们的公司遭受巨额罚款。

例如,组织需要检查其第三方供应商是否符合 SOC2 审计标准。

SOC2 旨在确保第三方保护其客户的敏感数据免遭未经授权的访问。

组织还必须确保第三方遵守隐私和安全法律,例如欧盟的《 通用数据保护条例》(GDPR) 和 《加州隐私权法案》(CPRA)的要求。

合规性是一个巨大的风险,你可能合规并且实施了必要的控制措施,但突然间你把这些第三方也加进来了,如果你不评估[他们是否实施了控制措施],你可能会违反你的合规立场。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/365366.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

观察者模式在金融业务中的应用及其框架实现

引言 观察者模式(Observer Pattern)是一种行为设计模式,它定义了一种一对多的依赖关系,使得多个观察者对象同时监听某一个主题对象。当这个主题对象发生变化时,会通知所有观察者对象,使它们能够自动更新。…

Web后端开发之前后端交互

http协议 http ● 超文本传输协议 (HyperText Transfer Protocol)服务器传输超文本到本地浏览器的传送协议 是互联网上应用最为流行的一种网络协议,用于定义客户端浏览器和服务器之间交换数据的过程。 HTTP是一个基于TCP/IP通信协议来传递数据. HTT…

Transformer详解encoder

目录 1. Input Embedding 2. Positional Encoding 3. Multi-Head Attention 4. Add & Norm 5. Feedforward Add & Norm 6.代码展示 (1)layer_norm (2)encoder_layer1 最近刚好梳理了下transformer,今…

文件系统(操作系统实验)

实验内容 (1)在内存中开辟一个虚拟磁盘空间作为文件存储器, 在其上实现一个简单单用户文件系统。 在退出这个文件系统时,应将改虚拟文件系统保存到磁盘上, 以便下次可以将其恢复到内存的虚拟空间中。 (2&…

MySQL-java连接MySQL数据库+JDBC的使用

目录 1.准备所需要资源 2.导入驱动包 3.连接数据库步骤 首先在MySQL中创建好数据库和表 代码实现连接数据库 1.准备所需要资源 1.mysql和驱动包 我用的是5.7的mysql和5.1.49的驱动包,链接放在网盘里,需要的自取 链接:https://pan.bai…

二轴机器人装箱机:重塑物流效率,精准灵活,引领未来装箱新潮流

在现代化物流领域,高效、精准与灵活性无疑是各大企业追求的核心目标。而在这个日益追求自动化的时代,二轴机器人装箱机凭借其较佳的性能和出色的表现,正逐渐成为装箱作业的得力助手,引领着未来装箱新潮流。 一、高效:重…

【自动化测试】Selenium自动化测试框架 | 相关介绍 | Selenium + Java环境搭建 | 常用API的使用

文章目录 自动化测试一、selenium1.相关介绍1.Selenium IDE2.Webdriverwebdriver的工作原理: 3.selenium Grid 2.Selenium Java环境搭建3.常用API的使用1.定位元素2.操作测试对象3.添加等待4.打印信息5.浏览器的操作6.键盘事件7.鼠标事件8.定位一组元素9.多层框架定…

springcloud-config 客户端启用服务发现client的情况下使用metadata中的username和password

为了让spring admin 能正确获取到 spring config的actuator的信息,在eureka的metadata中添加了metadata.user.user metadata.user.password eureka.instance.metadata-map.user.name${spring.security.user.name} eureka.instance.metadata-map.user.password${spr…

HTTP协议和Nginx

一、HTTP协议和Nginx 1.套接字Socket 套接字Socket是进程间通信IPC的一种实现,允许位于不同主机(或同一主机)上不同进程之间进行通信和数据交换,SocketAPI出现于1983年BSD4.2实现在建立通信连接的每一端,进程间的传输…

【单元测试】Controller、Service、Repository 层的单元测试

Controller、Service、Repository 层的单元测试 1.Controller 层的单元测试1.1 创建一个用于测试的控制器1.2 编写测试 2.Service 层的单元测试2.1 创建一个实体类2.2 创建服务类2.3 编写测试 3.Repository 1.Controller 层的单元测试 下面通过实例演示如何在控制器中使用 Moc…

Uniapp 默认demo安装到手机里启动只能看得到底tab无法看到加载内容解决方案

Uniapp 默认demo安装到手机里以后,启动APP只能看到底tab栏,无法看到每个tab页对应的内容,HBuilder会有一些这样的报错信息: Waiting to navigate to: /pages/tabBar/API/API, do not operate continuously: 解决方案:…

OpenCV 调用自定义训练的 YOLO-V8 Onnx 模型

一、YOLO-V8 转 Onnx 在本专栏的前面几篇文章中,我们使用 ultralytics 公司开源发布的 YOLO-V8 模型,分别 Fine-Tuning 实验了 目标检测、关键点检测、分类 任务,实验后发现效果都非常的不错,但是前面的演示都是基于 ultralytics…

SpringBoot + mkcert ,解决本地及局域网(内网)HTTPS访问

本文主要解决访问SpringBoot开发的Web程序,本地及内网系统,需要HTTPS证书的问题。 我测试的版本是,其他版本不确定是否也正常,测试过没问题的小伙伴,可以在评论区将测试过的版本号留下,方便他人参考: <spring-boot.version>2.3.12.RELEASE</spring-boot.vers…

快速将网页封装成APP:小猪APP分发助您一臂之力

你是否曾经有一个绝妙的网页&#xff0c;但苦于无法将其变成手机APP&#xff1f;其实&#xff0c;你并不孤单。越来越多的企业和开发者希望将自己的网站封装成APP&#xff0c;以便更好地接触到移动端用户。我们就来聊聊如何快速将网页封装成APP&#xff0c;并探讨小猪APP分发在…

「C++系列」C++ 数据类型

文章目录 一、C 数据类型二、C 数据类型占位与范围三、类型转换1. 隐式类型转换&#xff08;Automatic Type Conversion&#xff09;2. 显式类型转换&#xff08;Explicit Type Conversion&#xff09;3. 示例代码 四、数据类型案例1. 整型2. 浮点型3. 字符型4. 布尔型5. 枚举类…

《Programming from the Ground Up》阅读笔记:p1-p18

《Programming from the Ground Up》学习第1天&#xff0c;p1-18总结&#xff0c;总计18页。 一、技术总结 1.fetch-execute cycle p9, The CPU reads in instructions from memory one at a time and executes them. This is known as the fetch-execute cycle。 2.genera…

九浅一深Jemalloc5.3.0 -- ①浅*编译调试

目前市面上有不少分析Jemalloc老版本的博文&#xff0c;但5.3.0却少之又少。而且5.3.0的架构与之前的版本也有较大不同&#xff0c;本着“与时俱进”、“由浅入深”的宗旨&#xff0c;我将逐步分析Jemalloc5.3.0的实现。5.3.0的特性请见Releases jemalloc/jemalloc GitHub 另…

fastapi+vue3前后端分离开发第一个案例整理

开发思路 1、使用fastapi开发第一个后端接口 2、使用fastapi解决cors跨域的问题。cors跨域是浏览器的问题&#xff0c;只要使用浏览器&#xff0c;不同IP或者不同端口之间通信&#xff0c;就会存在这个问题。前后端分离是两个服务&#xff0c;端口不一样&#xff0c;所以必须要…

Java单体架构项目_云霄外卖-特殊点

项目介绍&#xff1a; 定位&#xff1a; 专门为餐饮企业&#xff08;餐厅、饭店&#xff09;定制的一款软件商品 分为&#xff1a; 管理端&#xff1a;外卖商家使用 用户端&#xff08;微信小程序&#xff09;&#xff1a;点餐用户使用。 功能架构&#xff1a; &#xff08…

ESP32实现UDP连接——micropython版本

代码&#xff1a; import network import socket import timedef wifiInit(name, port):ap network.WLAN(network.AP_IF) # 创建一个热点ap.config(essidname, authmodenetwork.AUTH_OPEN) # 无需密码ap.active(True) # 激活热点ip ap.ifconfig()[0] # 获取ip地址print(…