當(dāng)前位置：安全 → 行業(yè)動(dòng)態(tài) → 正文

為什么評(píng)估第三方的安全風(fēng)險(xiǎn)仍然是一個(gè)懸而未決的問題

責(zé)任編輯：cres 作者：Andy Ellis |來源：企業(yè)網(wǎng)D1Net 2023-06-26 13:26:16 原創(chuàng)文章企業(yè)網(wǎng)D1Net

《福布斯》雜志日前發(fā)布了一篇關(guān)于美國(guó)最安全的網(wǎng)絡(luò)公司的報(bào)告，表明網(wǎng)絡(luò)安全對(duì)于企業(yè)來說日益重要。

第一部分：在網(wǎng)絡(luò)安全方面最安全的公司有哪些?

報(bào)告列出了在網(wǎng)絡(luò)安全方面最安全的全球公司，以下是入選名單：

頂級(jí)公司：谷歌、蘋果、微軟、亞馬遜

第二梯隊(duì)：美國(guó)銀行、高盛、富達(dá)、CapitalOne、Meta、LinkedIn、美國(guó)聯(lián)合航空公司、Akamai、Cloudflare、Fastly

這份清單并不全面。這也讓安全行業(yè)專家考慮還有哪些公司，其評(píng)估的標(biāo)準(zhǔn)是，“擁有大量的數(shù)據(jù)，或大規(guī)模的系統(tǒng)控制，并能保護(hù)這些數(shù)據(jù)安全。”

第二部分：第三方風(fēng)險(xiǎn)管理的問題

《福布斯》雜志將美國(guó)聯(lián)合航空公司和富達(dá)公司列入前20名。安全行業(yè)專家推薦的其他金融服務(wù)公司大多在前100名，但沒有一家基礎(chǔ)設(shè)施公司上榜。有趣的是，這份報(bào)告認(rèn)同這一觀點(diǎn)，即美國(guó)聯(lián)合航空公司在業(yè)內(nèi)遙遙領(lǐng)先。美聯(lián)航的首席信息安全官Deneen DeFiore在網(wǎng)絡(luò)安全方面的工作一定很出色。

這份榜單由第三方風(fēng)險(xiǎn)管理(TPRM)行業(yè)的旗艦公司之一SecurityScorecard公司提供。第三方風(fēng)險(xiǎn)管理公司面臨的挑戰(zhàn)是：為與其他企業(yè)有業(yè)務(wù)往來的企業(yè)提供一種機(jī)制，從網(wǎng)絡(luò)安全的角度來評(píng)估供應(yīng)商給他們帶來的風(fēng)險(xiǎn)。SecurityScorecard公司和它的主要競(jìng)爭(zhēng)對(duì)手BitSight公司使用了類似的方法：創(chuàng)建風(fēng)險(xiǎn)評(píng)分(有點(diǎn)像信用評(píng)分)，評(píng)估企業(yè)，然后給它們打分。

這聽起來很簡(jiǎn)單，對(duì)吧? 但并不是這么簡(jiǎn)單。想象一下，如果信用報(bào)告機(jī)構(gòu)決定開始使用信用評(píng)分算法來評(píng)估大型企業(yè)的網(wǎng)絡(luò)安全性。他們當(dāng)然會(huì)看起來很糟糕!想想谷歌公司的邊界(所有公開可見的IP地址)與英特爾公司(在福布斯榜單上排名第一)的規(guī)模。英特爾公司是全球主要的芯片制造商，安全專家希望這些公司的外部足跡很小，但并不知道他們的網(wǎng)絡(luò)安全實(shí)踐，希望他們不要把重點(diǎn)放在網(wǎng)站安全(這對(duì)他們的評(píng)級(jí)有影響)上，而是放在他們的產(chǎn)品和制造安全(這對(duì)他們的評(píng)級(jí)沒有影響)上。另一方面，谷歌公司作為互聯(lián)網(wǎng)主要公司之一，他們的可尋址IP空間是世界上最大的IP空間之一，所以從外部看，他們的網(wǎng)絡(luò)安全態(tài)勢(shì)當(dāng)然看起來很糟糕，特別是如果衡量標(biāo)準(zhǔn)之一是攻擊面的大小。

無論好壞，信用報(bào)告機(jī)構(gòu)比TPRM評(píng)分機(jī)構(gòu)擁有更多的數(shù)據(jù)。它們根植于金融系統(tǒng)，收集了很多不應(yīng)該公開的信息。另一方面，TPRM評(píng)分機(jī)構(gòu)做的是類似于駕車評(píng)估的工作。他們?cè)诨ヂ?lián)網(wǎng)上看企業(yè)的外部安全，并根據(jù)企業(yè)形象來決定他們的信譽(yù)。當(dāng)然，某些業(yè)務(wù)類型看起來比其他業(yè)務(wù)更安全。

遺憾的是，TPRM評(píng)分的替代方案是TPRM問卷調(diào)查行業(yè)，它的幫助微乎其微。這是一個(gè)專注于向供應(yīng)商發(fā)送大量調(diào)查問卷的行業(yè)，收集這些問卷需要付出巨大的努力。然后，專門的團(tuán)隊(duì)會(huì)審查答案，尋找任何看起來是否定的答案來跟進(jìn)(所有成熟的供應(yīng)商現(xiàn)在都知道永遠(yuǎn)不要對(duì)任何問題說“不”)。現(xiàn)在該行業(yè)都專注于簡(jiǎn)化這些問卷的填寫。

TPRM評(píng)分問題尚未得到解決。企業(yè)確實(shí)需要了解他們從供應(yīng)商那里繼承的實(shí)際風(fēng)險(xiǎn)，包括內(nèi)在風(fēng)險(xiǎn)(供應(yīng)商給企業(yè)帶來的風(fēng)險(xiǎn))和使用風(fēng)險(xiǎn)(使用供應(yīng)商的方式造成的風(fēng)險(xiǎn))。不幸的是，無論是評(píng)分還是問卷調(diào)查都無法解決這個(gè)問題。

關(guān)于企業(yè)網(wǎng)D1net(hfnxjk.com)：

國(guó)內(nèi)主流的to B IT門戶，同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需在文章開頭注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

關(guān)鍵字：網(wǎng)絡(luò)安全