供应链安全告急 供应商风险管理(VRM)该如何下手?

首页 / 业界 / 资讯 /  正文
作者:西西
来源:安全419
发布于:1个月前
当今企业可利用的重要资源之一是增值服务和解决方案的庞大生态系统。尤其是在技术解决方案中,组织可以利用的服务是无止境的。

此外,如果企业需要一个特定的解决方案或服务,一旦内部无法处理,则很可能由第三方供应商来为他们提供。

对于当今的企业来说,访问这些大量的第三方资源是非常有益的。然而,尽管有好处,但使用第三方供应商及其服务的公司可能会面临安全挑战。让我们以 IT 专业人员的视角进行供应商风险管理,看看企业如何在高度复杂的网络安全世界中实现这一目标。

第三方供应商为何会引入网络安全风险?

如前所述,第三方供应商对当今开展业务的组织是非常有益的。它们允许公司避免在内部构建技术和其他解决方案,并将其作为一种服务来使用。这些服务对于可能不具备资源或技术专长来构建所需的基础设施和软件解决方案的小型组织来说至关重要。

但是,当公司与与其业务关键和敏感系统集成的技术解决方案进行交互时,他们必须考虑所涉及的潜在网络安全风险。

作为众所周知,“供应链是最薄弱的环节”,如果第三方供应商的网络安全实践和态势不佳,如果他们的解决方案与您的系统集成,由此产生的网络安全风险将会影响您的系统。供应商相关数据泄露的实际后果是什么?

早在2013 年,作为美国最大零售商之一的 Target Corporation 成为数据泄露的受害者,原因是拥有 Target 网络凭据的第三方公司遭到黑客攻击。攻击者首先入侵了 Target 制冷和暖通空调服务提供商Fazio Mechanical Services 的网络。结果,攻击者破坏了 4000 万个帐户,Target 同意向数据被盗的客户支付 1000 万美元的损失。

近着如今年7月2日,REvil对大约50家托管服务提供商 (MSP) 发起了大规模勒索软件攻击。攻击者发现并利用了Kaseya 的终端管理和网络监控VSA软件中一个未修补的零日漏洞CVE-2021-30116,使这些MSP的1500名下游客户感染了勒索软件。

什么是供应商风险管理 (VRM)?

为了应对与第三方供应商合作的网络安全挑战,组织必须专注于供应商风险管理 (VRM)。什么是 VRM?它使组织能够专注于发现和减轻与第三方供应商相关的风险。

借助 VRM,企业可以了解与他们建立关系的供应商以及他们实施的安全控制措施,以确保其系统和流程是安全可靠的。

随着当今企业面临的重大风险和合规性法规的演变,VRM 是一门必须得到关注的学科,并应该得到 IT 专业人士和董事会成员的支持。

以 IT 专业人员视角进行供应商风险管理

首先,发现、理解和减轻与整体网络安全相关的供应商风险管理的责任落在 IT 部门和 SecOps 身上。此外,IT 通常负责为业务制定 VRM 策略,并确保在使用第三方解决方案时不会牺牲组织的整体网络安全。

要成功实施 VRM,组织需要有一个管理供应商风险的框架。以下是我们建议采取的七个步骤,以确保您的组织免受供应商风险的影响:

1 梳理为您的组织提供服务的所有供应商
在您能够有效地了解您的业务面临的风险之前,您需要了解您的组织使用的所有供应商。一份完整的清单可能包括从草坪护理到信用卡服务的所有内容。对所有供应商进行透彻的了解和盘点有助于确保风险得到适当的计算。

2 为您的组织定义可接受的风险水平
不同类型、行业的企业可能有不同的管理期望和不同的风险领域。例如,对医疗保健组织而言重要的定义可能因金融机构而异。无论如何,确定可接受的风险级别有助于确保采取适当的缓解措施,风险也为业务受众所接受。

3 识别最关键的风险
某些供应商带来的风险很可能会比其他供应商更大。例如,一家无法访问您的技术基础设施的保洁公司的风险可能比具有某些关键业务系统网络访问权限的第三方供应商要小。因此,对与特定供应商相关的风险级别进行排名对于了解整体风险至关重要。

4 对为您的企业提供服务的供应商进行分类
在确定为您的企业提供服务的供应商后,应根据他们提供的服务以及他们对您的企业构成的风险对这些供应商进行分类。

5 定期进行供应商风险评估
即使企业在某一时刻构成轻微风险,但这种情况也可能在以后发生变化。与您的业务一样,供应商基础设施、服务、软件和网络安全状况的状态也在不断变化。因此,定期进行供应商评估,以快速识别您组织面临的风险的突然变化。

6 与供应商签订有效合同并主动跟踪条款
确保您与所有供应商签订了有效合同。合同协议在法律上确立了各方的期望,包括安全和风险评估。随着时间的推移跟踪合同和条款,它允许识别与所表达的合同条款的任何偏差。

7 随时间推移长期监控供应商风险
随着时间的推移,持续地监控供应商带来的风险。如果发觉特定供应商随着时间推移风险也在持续地增长,这可能表明需要寻找另一家供应商。