2016年5月,Soha第三方咨询小组对200多名企业IT和安全高管、董事、经理进行了调查,意图找出由于第三方访问而导致的IT风险和日常挑战。结果表明,98%的受访者不认为第三方访问是IT项目和预算分配的第一要务。
绝大多数受访者承认,提供第三方访问是个复杂而又繁琐的过程。为应用开辟安全第三方访问通道的复杂程度,直接导致IT部门平均要处理4.6个设备,比如VPN、防火墙、目录等等。从安全角度看,这已经构成了问题。有研究揭示,63%的数据泄露是由第三方造成,或与第三方有关。第三方厂商应该仅仅对支持业务必需的应用拥有访问权,再多就不能给了。
基于调查结果,这个由安全专家、分析师和业界大拿组成的咨询小组被问到了第三方访问安全趋势问题,比如IT从业者应该怎样保障自身网络安全,以及确保第三方访问安全。
当前最主要的安全第三方访问趋势
当下两大第三方访问趋势与不断延伸的职场和越来越多的监管要求有关。职场的延展带来了外包比重的增加。随着外包逐年增长,它呈现的问题——尤其是当今越来越多的安全威胁,给访问需求和供应引入了一层新的复杂性和挑战。
市场对许多IT驱动领域公司的需求,严重依赖于B2B(企业对企业的电子商务模式)访问,不仅后端访问需要,对应用的直接访问也需要。云功能及其实现导致了这些市场需求的指数级增长。
对托管敏感数据(比如:与金融相关的个人身份识别信息,或健康信息)的公司企业的监管要求也在增长。全球政府都在增加涉消费者信息处理或存储的安全要求。
而今天最常见的访问改善则存在于多因子身份验证和策略领域,但最大的趋势,还是与企业怎样评估所有第三方的安全品质和表现有关。特别是,通过评估第三方管理其自身安全的能力,合作伙伴也就能更好地评估与允许访问相关联的风险了。
而从供应链合作伙伴的角度出发,很多企业如今已开始要求第三方安全合规。企业正部署能提供供应链合作伙伴安全态势评估的解决方案。这些信息被用于评估厂商风险,触发访问决策。
安全第三方访问态势需安全从业人员关注
由于其多样性,第三方访问非常复杂。因此,只在绝对必要的时候,第三方才会被优先考虑。
企业经常寻求通用解决方案。毕竟,第三方访问范围之广,可从几乎相当于雇员的合资伙伴,到警报监控或仅偶尔连接一下的空调访问提供商。
而且,IT和安全从业者也做不到准确有效的沟通,或者不知道涉第三方数据泄露会带来的损失或风险。波耐蒙研究所《2015数据泄露损失研究全球分析》表明,企业内被泄露数据每条记录的损失是217美元。而当有第三方涉入,该损失会上升至233美元每条。
了解并能够量化损失,可帮助企业获得更多预算以解决第三方访问之类的问题。也应该明白,任何安全项目中一直以来都是最脆弱一环的口令,依然是访问控制的最主要方式。尽管有多因子身份验证系统可用,很多公司却因为费用、复杂性和接受难度等问题而并没有部署实现。
这一困难让IT团队只能转向更简单的方法,比如给第三方厂商提供与本公司雇员同等级的访问权限等。虽然这种方法方式确实遵从了公司内部IT资源规程,但也给公司带来了更大的未知的风险。
不过,第三方问题也可归结到企业责任上来。厂商风险管理团队依靠IT团队来建议第三方访问解决方案,而一套易用的解决方案显然会获得更大的采用可能。另外,解决方案提供商需要对用户体验多加注意,也要理解IT资源限制会给企业带来不同的操作优先级。
企业应怎样应对安全第三方访问
资产清单是经常被遗忘而又超级有用的安全挑战及访问情况概览工具。持续补充完善资产清单并进行跟踪,可以有效降低联网资产不合规的风险。
确保第三方访问安全依赖于用例。外部承包商、雇员和B2B实体应采用符合他们风险状况的访问控制,包括:隔离、加密、联合集成。
很多企业现在已经着手实现对第三方厂商的安全策略了,比如:定义风险度量标准以客观评估风险,设置固有风险(IR)计划以解决合规偏差和风险,打造整个企业范围的端到端安全和风险视图。