CyCognito委托Osterman Research進(jìn)行調(diào)研的結(jié)果表明，相比沒(méi)有子公司或子公司數(shù)量較少的企業(yè)，子公司數(shù)量眾多的跨國(guó)企業(yè)更容易受到網(wǎng)絡(luò)安全威脅，且更難以管理風(fēng)險(xiǎn)。

　　這項(xiàng)調(diào)研的目標(biāo)對(duì)象是至少擁有10家子公司和3000多名雇員或年收入在10億美元以上的201家企業(yè)。

　　盡管對(duì)自家子公司風(fēng)險(xiǎn)管理的有效性極具信心，但約67%的受訪者表示，其所在企業(yè)要么經(jīng)歷過(guò)攻擊鏈包括子公司的網(wǎng)絡(luò)攻擊，要么無(wú)法排除這種可能性。

　　約半數(shù)受訪者承認(rèn)，即使“明天”就發(fā)生數(shù)據(jù)泄露，他們也毫不驚訝。這些受訪者身居網(wǎng)絡(luò)安全、合規(guī)或風(fēng)險(xiǎn)方面的管理職位。每家受訪企業(yè)都有員工專(zhuān)職監(jiān)測(cè)子公司風(fēng)險(xiǎn)。

　　Osterman Research高級(jí)分析師Michael Sampson表示：“我們希望了解企業(yè)面臨的威脅和風(fēng)險(xiǎn)，不僅僅是企業(yè)剛剛收購(gòu)或兼并的子公司，更重要的是那些已經(jīng)存在多年或更長(zhǎng)時(shí)間的子公司。而且鑒于網(wǎng)絡(luò)安全挑戰(zhàn)、風(fēng)險(xiǎn)和問(wèn)題不斷變化，即使公司當(dāng)下的網(wǎng)絡(luò)安全事件歷史清白，我敢打賭，隨著新漏洞的發(fā)現(xiàn)或凸顯，這種安全狀態(tài)會(huì)不斷下滑?！?/p>

　　Sampson稱，如果子公司不知道資產(chǎn)和數(shù)據(jù)源暴露情況，或者選擇向母公司隱瞞此類(lèi)情況，這些漏洞就會(huì)被忽視，并在以后發(fā)展成重大問(wèn)題。

　　子公司面臨多重安全風(fēng)險(xiǎn)

　　調(diào)研報(bào)告強(qiáng)調(diào)，以犧牲安全為代價(jià)的合規(guī)、復(fù)雜的并入流程、不常執(zhí)行且冗長(zhǎng)的風(fēng)險(xiǎn)管理過(guò)程、過(guò)度使用手動(dòng)工具，以及修復(fù)與檢測(cè)結(jié)果之間的滯后，這些都是子公司風(fēng)險(xiǎn)管理中的主要障礙。

　　報(bào)告稱，宏觀趨勢(shì)和業(yè)務(wù)運(yùn)營(yíng)環(huán)境正在影響安全運(yùn)營(yíng)現(xiàn)實(shí)。例如，在子公司的首要問(wèn)題方面，69%的受訪者提到了新冠肺炎疫情引發(fā)的數(shù)字轉(zhuǎn)型，56%的受訪者則指向全球近期頻頻發(fā)生的重大供應(yīng)鏈攻擊事件。

　　Sampson稱：“我認(rèn)為，我們將看到企業(yè)越來(lái)越重視網(wǎng)絡(luò)安全，而且過(guò)去五年中，一些網(wǎng)絡(luò)安全威脅也已經(jīng)廣為人知了。供應(yīng)鏈勒索軟件和商務(wù)電郵入侵（BEC）就是其中最常見(jiàn)的兩種。”

　　報(bào)告強(qiáng)調(diào)，企業(yè)更重視子公司風(fēng)險(xiǎn)監(jiān)測(cè)中的合規(guī)方面而非安全方面，這就在子公司并入和管理過(guò)程中留下了漏洞，導(dǎo)致面臨更多攻擊。

　　子公司并入本身是一項(xiàng)復(fù)雜的任務(wù)，只有大約5%的受訪者確認(rèn)擁有無(wú)縫整合新業(yè)務(wù)部門(mén)的成熟流程，而其他受訪者則抱怨，母公司和子公司兩方面都背負(fù)著巨大的工作量。

　　受訪者表示，目前實(shí)行的子公司管理操作太過(guò)稀少，某種意義上講，由于收集的數(shù)據(jù)具有即時(shí)性，因此只能提供快照視圖，很快就會(huì)過(guò)時(shí)。此外，大多數(shù)受訪者認(rèn)為，當(dāng)前的流程不足以覆蓋企業(yè)的潛在攻擊面，留有漏洞，還經(jīng)常會(huì)大量產(chǎn)生需費(fèi)時(shí)費(fèi)力處理的誤報(bào)。

　　風(fēng)險(xiǎn)評(píng)估耗時(shí)太久

　　另一項(xiàng)重要考慮是子公司相關(guān)風(fēng)險(xiǎn)的評(píng)估耗時(shí)。目前，54%的受訪企業(yè)平均花費(fèi)一周到三個(gè)月的時(shí)間進(jìn)行風(fēng)險(xiǎn)評(píng)估，其中71%想將風(fēng)險(xiǎn)評(píng)估時(shí)間縮短至一天以內(nèi)。

　　受訪者還指出了安全漏洞檢測(cè)與修復(fù)之間的滯后問(wèn)題。大約73%的受訪者稱，檢出安全漏洞與修復(fù)安全漏洞之間存在一周到一個(gè)月的時(shí)間差。這種滯后可能造成十分危險(xiǎn)的攻擊機(jī)會(huì)。更糟的是，管理安全風(fēng)險(xiǎn)所需的大量工具不過(guò)是增加了總處理時(shí)間。

　　根據(jù)該報(bào)告，相比子公司數(shù)量較少的企業(yè)，擁有大量子公司的企業(yè)多花費(fèi)一個(gè)月以上才能修復(fù)所檢出安全漏洞的可能性要高50%。而所在母公司下轄子公司數(shù)量不少于17家的受訪者，表示子公司不止一次卷入網(wǎng)絡(luò)攻擊鏈的可能性，比所在企業(yè)子公司數(shù)量較少的受訪者高出近一倍。

　　網(wǎng)絡(luò)安全公司CyCognito創(chuàng)始人兼首席執(zhí)行官Rob Gurzeev稱：“子公司風(fēng)險(xiǎn)管理面臨的挑戰(zhàn)是，母公司和子公司可能分處不同的國(guó)家/地區(qū)，可能使用完全不同的技術(shù)棧、流程、溝通方式和文化。如果我是企業(yè)甚至整個(gè)集團(tuán)的首席安全官，我對(duì)這些其他企業(yè)的資產(chǎn)可能一無(wú)所知，進(jìn)而即便我知曉了某種風(fēng)險(xiǎn)，我也缺乏著手應(yīng)對(duì)的相關(guān)上下文。”

　　雖然上世紀(jì)90年代末的漏洞管理和滲透測(cè)試通常僅限于公司幾臺(tái)接入互聯(lián)網(wǎng)的服務(wù)器，但過(guò)去幾十年間的上云工作向成千上萬(wàn)的工程師、供應(yīng)商、合作伙伴和第三方開(kāi)放了系統(tǒng)框架。Gurzeev表示，在已延伸的網(wǎng)絡(luò)架構(gòu)中加入子公司只會(huì)增加攻擊面，需要更加有效的應(yīng)對(duì)措施。