《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > “第三方” —企業(yè)遭遇網(wǎng)絡(luò)攻擊的一大路徑

“第三方” —企業(yè)遭遇網(wǎng)絡(luò)攻擊的一大路徑

2022-11-07
來(lái)源:安全419
關(guān)鍵詞: 網(wǎng)絡(luò)攻擊

  隨著業(yè)務(wù)速度的提高,越來(lái)越多的企業(yè)尋求第三方服務(wù)以獲得市場(chǎng)優(yōu)勢(shì)。隨著企業(yè)擴(kuò)大其供應(yīng)商基礎(chǔ),迫切需要全面的第三方風(fēng)險(xiǎn)管理(TPRM) 和全面的網(wǎng)絡(luò)安全措施以評(píng)估供應(yīng)商構(gòu)成的風(fēng)險(xiǎn)程度。

  第三方會(huì)帶來(lái)哪些網(wǎng)絡(luò)安全風(fēng)險(xiǎn)?

  01 數(shù)據(jù)泄露:勒索軟件、網(wǎng)絡(luò)釣魚(yú)和對(duì)供應(yīng)商或其系統(tǒng)的直接攻擊威脅企業(yè)的數(shù)據(jù)隱私。此外,供應(yīng)商的組織安全性差和控制執(zhí)行不力也會(huì)給企業(yè)帶來(lái)安全風(fēng)險(xiǎn)。

  02 服務(wù)中斷:惡意軟件和分布式拒絕服務(wù)(DDoS)攻擊可能會(huì)破壞企業(yè)供應(yīng)商的系統(tǒng),從而無(wú)法為企業(yè)的 IT 基礎(chǔ)設(shè)施提供服務(wù)。也因此,這可能會(huì)使企業(yè)系統(tǒng)暴露而受到攻擊無(wú)法向客戶提供相應(yīng)服務(wù)。

  03 合規(guī)風(fēng)險(xiǎn):監(jiān)管機(jī)構(gòu)越來(lái)越多地讓企業(yè)及其供應(yīng)商參與網(wǎng)絡(luò)安全合規(guī)。企業(yè)不僅需要遵守法規(guī),并確保其供應(yīng)商遵守相關(guān)法規(guī)。

  如何協(xié)同第三方解決網(wǎng)絡(luò)安全問(wèn)題?

  01 整合網(wǎng)絡(luò)安全和 TPRM

  企業(yè)應(yīng)了解網(wǎng)絡(luò)安全優(yōu)先事項(xiàng)的作用是確定供應(yīng)商在 TPRM 中遵守的監(jiān)管標(biāo)準(zhǔn)和控制措施。企業(yè)整合網(wǎng)絡(luò)安全和 TPRM,以減少工作流程的處理以及風(fēng)險(xiǎn)決策方面的重疊。

  網(wǎng)絡(luò)安全和 TPRM 的整合對(duì)于企業(yè)來(lái)說(shuō),有以下幾點(diǎn)好處:

  ● 控制第三方風(fēng)險(xiǎn)偏差,與自身保持同步;

  ● 降低合規(guī)成本,提高運(yùn)營(yíng)效率;

  ● 增強(qiáng)安全風(fēng)險(xiǎn)應(yīng)對(duì)的能力。

  企業(yè)還應(yīng)了解第三方對(duì)其系統(tǒng)、數(shù)據(jù)和基礎(chǔ)設(shè)施的訪問(wèn)權(quán)限。除此之外,企業(yè)要確保采取充分適當(dāng)?shù)膽?yīng)對(duì)措施和控制措施來(lái)確保這些系統(tǒng)的端口安全。

  02 開(kāi)展深入全面的盡職調(diào)查

  一旦企業(yè)為網(wǎng)絡(luò)安全控制和指標(biāo)建立了堅(jiān)實(shí)的內(nèi)部基礎(chǔ),其便可以開(kāi)始對(duì)新的和現(xiàn)有的供應(yīng)商開(kāi)展深入全面的盡職調(diào)查。TPRM 團(tuán)隊(duì)?wèi)?yīng)盡可能收集高度相關(guān)信息,如供應(yīng)商的歷史事件和未來(lái)狀態(tài)展望,以了解供應(yīng)商網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

  僅當(dāng)潛在供應(yīng)商的網(wǎng)絡(luò)安全實(shí)踐符合企業(yè)規(guī)則時(shí),才應(yīng)與其合作,并且應(yīng)根據(jù)供應(yīng)商對(duì)企業(yè)構(gòu)成的風(fēng)險(xiǎn)級(jí)別將其進(jìn)行分層分類(lèi)。

  03 進(jìn)行持續(xù)監(jiān)控

  僅對(duì)供應(yīng)商開(kāi)展盡職調(diào)查不足以捕捉其不斷變化的風(fēng)險(xiǎn)態(tài)勢(shì)。企業(yè)應(yīng)通過(guò)進(jìn)行持續(xù)監(jiān)控以了解供應(yīng)商網(wǎng)絡(luò)安全控制和狀態(tài)的變化。除此之外,定期評(píng)估供應(yīng)商群體的安全性也十分重要。初始的盡職調(diào)查可以為企業(yè)展示供應(yīng)商安全性的初始評(píng)分,企業(yè)應(yīng)對(duì)供應(yīng)商進(jìn)行深入持續(xù)的安全性評(píng)分。企業(yè)可以根據(jù)供應(yīng)商在年度、兩年或三年時(shí)間框架內(nèi)的總體風(fēng)險(xiǎn)來(lái)進(jìn)行評(píng)分評(píng)級(jí)。

  企業(yè)應(yīng)與值得信賴的安全供應(yīng)商一起改善業(yè)務(wù),規(guī)避風(fēng)險(xiǎn)。這是企業(yè)的業(yè)務(wù)需求,更是雙方共同的企愿。



  更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。