第三方风险管理需要分析、预测与分层防御

随着组织陷入超越第三方甚至包括第四方、第五方的供应商网络，行业中的涟漪攻击正在增加。

如今，组织不仅面临来自专有软件供应商等外部方的风险，还面临与其合作人员带来的风险。例如，在金融领域，与业务有密切接触点的投资者和客户构成了基于风险的挑战，因为他们不是内部用户。

这是Sanne集团信息安全主管Ash Hunt在参加2022年第三方风险管理数字峰会前对CS Hub发表的观点。

Hunt认为，分析和预测是针对与组织合作的外部方可能引发的网络攻击涟漪效应影响的关键防御机制。

不断演变的挑战

Hunt表示，这些涟漪效应正迫使组织彻底重新设计关于在外部方安全态势中拥有利益的认识。“这说起来容易做起来难，“他说。“我认为之前非常侧重于发布一份尽职调查问卷并希望这就足够了，现在需要更多地关注分析立场，即实际进行风险分析。”

这种广泛分析包括预测和探索组织最大漏洞可能在哪里。根据接触点与企业网络的接近程度，每个对组织的接触点可能具有不同的风险和损失暴露。

根据Hunt的说法，并购数量的增加也对第三方风险产生了影响。这是因为随着每次合并、每次收购，组织都有一个"几乎不断扩展"的技术风险组合需要缓解。

“外部风险的挑战肯定比前几年变得更加复杂，“Hunt说。

这类风险的工具配置很困难，因为最终组织试图访问在涉及外部方时无法直接控制的元素。

“即使在检测和监控方面也非常困难，“Hunt解释说。“我认为挑战在于对外部方缺乏足够的透明度，“他指出，并补充说组织需要有一个可信的外部方目录。

“我保证大多数组织没有这个。这都归结为拥有一个健全的治理流程来管理这些供应商。”

这种审查过程可以通过技术部门下的中央服务管理平台来保障，或者可以由专门的供应商管理团队处理。最终，关于入职和管理外部方需要有足够的监督。

Hunt指出，风险管理以及采购和治理流程必须被视为第三方整体管理的一部分，并应作为企业考虑的另一种损失情景来处理。

由于风险水平可能因外部方提供服务的临界程度而异，组织应评估每个合作伙伴的最终损失暴露。

Hunt建议通过"快速启动包"在第三方与业务网络其余部分之间建立分层防御工作流。

组织可以设置一个专用收件箱，像一个基础服务门户，将任何第三方作为定义的外部方带入网络的特定位置。

通过在网络的封闭部分管理外部方的业务互动，组织和供应商都有一种符合相关合规要求和政策的安全操作方式。