2016年5月，Soha第三方咨詢小組對200多名企業IT和安全高管、董事、經理進行了調查，意圖找出由于第三方訪問而導致的IT風險和日常挑戰。結果表明，98%的受訪者不認為第三方訪問是IT項目和預算分配的第一要務。

絕大多數受訪者承認，提供第三方訪問是個復雜而又繁瑣的過程。為應用開辟安全第三方訪問通道的復雜程度，直接導致IT部門平均要處理4.6個設備，比如VPN、防火墻、目錄等等。從安全角度看，這已經構成了問題。有研究揭示，63%的數據泄露是由第三方造成，或與第三方有關。第三方廠商應該僅僅對支持業務必需的應用擁有訪問權，再多就不能給了。

基于調查結果，這個由安全專家、分析師和業界大拿組成的咨詢小組被問到了第三方訪問安全趨勢問題，比如IT從業者應該怎樣保障自身網絡安全，以及確保第三方訪問安全。

當前最主要的安全第三方訪問趨勢

當下兩大第三方訪問趨勢與不斷延伸的職場和越來越多的監管要求有關。職場的延展帶來了外包比重的增加。隨著外包逐年增長，它呈現的問題——尤其是當今越來越多的安全威脅，給訪問需求和供應引入了一層新的復雜性和挑戰。

市場對許多IT驅動領域公司的需求，嚴重依賴于B2B(企業對企業的電子商務模式)訪問，不僅后端訪問需要，對應用的直接訪問也需要。云功能及其實現導致了這些市場需求的指數級增長。

對托管敏感數據(比如：與金融相關的個人身份識別信息，或健康信息)的公司企業的監管要求也在增長。全球政府都在增加涉消費者信息處理或存儲的安全要求。

而今天最常見的訪問改善則存在于多因子身份驗證和策略領域，但最大的趨勢，還是與企業怎樣評估所有第三方的安全品質和表現有關。特別是，通過評估第三方管理其自身安全的能力，合作伙伴也就能更好地評估與允許訪問相關聯的風險了。

而從供應鏈合作伙伴的角度出發，很多企業如今已開始要求第三方安全合規。企業正部署能提供供應鏈合作伙伴安全態勢評估的解決方案。這些信息被用于評估廠商風險，觸發訪問決策。

安全第三方訪問態勢需安全從業人員關注

由于其多樣性，第三方訪問非常復雜。因此，只在絕對必要的時候，第三方才會被優先考慮。

企業經常尋求通用解決方案。畢竟，第三方訪問范圍之廣，可從幾乎相當于雇員的合資伙伴，到警報監控或僅偶爾連接一下的空調訪問提供商。

而且，IT和安全從業者也做不到準確有效的溝通，或者不知道涉第三方數據泄露會帶來的損失或風險。波耐蒙研究所《2015數據泄露損失研究全球分析》表明，企業內被泄露數據每條記錄的損失是217美元。而當有第三方涉入，該損失會上升至233美元每條。

了解并能夠量化損失，可幫助企業獲得更多預算以解決第三方訪問之類的問題。也應該明白，任何安全項目中一直以來都是最脆弱一環的口令，依然是訪問控制的最主要方式。盡管有多因子身份驗證系統可用，很多公司卻因為費用、復雜性和接受難度等問題而并沒有部署實現。

這一困難讓IT團隊只能轉向更簡單的方法，比如給第三方廠商提供與本公司雇員同等級的訪問權限等。雖然這種方法方式確實遵從了公司內部IT資源規程，但也給公司帶來了更大的未知的風險。

不過，第三方問題也可歸結到企業責任上來。廠商風險管理團隊依靠IT團隊來建議第三方訪問解決方案，而一套易用的解決方案顯然會獲得更大的采用可能。另外，解決方案提供商需要對用戶體驗多加注意，也要理解IT資源限制會給企業帶來不同的操作優先級。

企業應怎樣應對安全第三方訪問

資產清單是經常被遺忘而又超級有用的安全挑戰及訪問情況概覽工具。持續補充完善資產清單并進行跟蹤，可以有效降低聯網資產不合規的風險。

確保第三方訪問安全依賴于用例。外部承包商、雇員和B2B實體應采用符合他們風險狀況的訪問控制，包括：隔離、加密、聯合集成。

很多企業現在已經著手實現對第三方廠商的安全策略了，比如：定義風險度量標準以客觀評估風險，設置固有風險(IR)計劃以解決合規偏差和風險，打造整個企業范圍的端到端安全和風險視圖。