博客
如何在违规世界中管理第三方风险

如何在违规世界中管理第三方风险

摘要形状摘要形状

在供应商关系中,第三方风险是不可避免的。没有可靠的 第三方风险管理(TPRM)计划, 它'在没有将组织暴露于网络威胁的情况下,船上不可能。

2013年目标数据泄露 是一个小供应商如何暴露大型组织数据的一个重要示例。 HVAC分包商的开始结束了超过4000万客户的曝光。  

今天,每个组织都试图建立有效 第三方风险管理(TPRM)框架, 然而 只有16%的报告 他们可以有效减轻 数字风险 由供应商关系引起的。

要了解如何有效管理第三方风险,以便您可以自信地滚上新供应商,阅读。

为什么第三方风险管理重要?

最终,它's an organization'董事会和高级管理层负责管理第三方关系。相关风险的识别和控制应持有与组织内部处理的相同标准。

遗憾的是,尽管在供应商生命周期中的第三方关系产生了许多出现的风险,但这不是现状。是的,一些风险来自潜在的活动本身,无论外包如何都存在。

但是,其他潜在风险出现或由第三方的参与增长。未能管理这些风险可以将面临的组织留给监管行动,财务行动,诉讼,声誉损害,并可能损害本组织'我们获得现有客户的新或服务的能力。这就是为什么 第三方风险管理是如此重要.

第三方引入的常见风险是什么?

并非所有以下风险都适用于每个第三方关系,也不适用于全包名单。也就是说,大多数第三方业务关系将介绍以下内容:

  • 安全风险: 由a引起的暴露或损失的风险 网络攻击, 安全漏洞 或其他安全事件。在船上新供应商之前进行尽职调查,往往会缓解这种风险,并在供应商生命周期上持续监控。
  • 操作风险: 第三方的风险将导致业务运营中断。这通常通过合同束缚的服务级别协议(SLA)管理。根据供应商的关键性,您可以选择有备份供应商到位,以确保业务连续性。这是金融机构的常见做法。
  • 法律,监管和合规风险: 第三方的风险将影响您的组织'遵守本地立法,监管或协议。这对金融服务,医疗保健和政府组织以及业务合作伙伴尤为重要。
  • 声誉风险: 由第三方引起的负面舆论产生的风险。不满意的客户,不当互动和差的建议只是冰山一角。最损害的事件是第三方 数据违规 穷人造成的 安全控制.
  • 财务风险: 第三方的风险将对组织的财务成功产生不利影响。例如,由于供应链管理不佳,您的组织可能无法销售新产品。
  • 战略风险: 由于第三方供应商,您的组织将无法满足其业务目标的风险。

缓解电子邮件欺骗和网络钓鱼风险

网络钓鱼 是一种常见而成功的形式 社会工程学, 特别 矛网络钓鱼 结合 电子邮件欺骗.  

网络钓鱼是当攻击者试图通过欺骗受害者通过电子邮件,电话或短信向他们提供敏感数据或登录凭据来获取敏感数据或登录凭据。

矛网络钓鱼是当这些尝试目标在特定人身上。

最成功的网络钓鱼形式之一是矛网络钓鱼与电子邮件欺骗。

电子邮件欺骗是攻击者利用糟糕的电子邮件安全性并伪造发件人地址,使其看起来像电子邮件来自可信任的聚会。

具有不足的SPF,DKIM和DMARC设置的供应商是特别高的风险。

想象一下,您有一个可以访问您的CRM并具有较差的电子邮件安全性供应商。

攻击者可以欺骗他们的域名,向您的员工发送电子邮件,要求在CRM中创建新帐户。您的员工遵循思考它实际上是供应商,这导致您的客户的曝光' 个人身份信息(PII).

防止这一点的最佳方法是防止这种攻击是为了确保电子邮件从未到达受害者's inbox.

为此,您需要能够验证您的供应商'对各种来源的电子邮件确保它来自它所说的谁。

三种最常见的电子邮件身份验证方法是:

  • 发件人策略框架(SPF): SPF验证源自发送者域信任的服务器的电子邮件。单独的SPF只能验证消息的来源而不是原始作者。没有什么可以阻止攻击者设置自己的邮箱和域,其中包含授权攻击者的SPF记录'S ip地址代表该域名发送电子邮件。
  • DomainKeys识别邮件(DKIM): DKIM验证来自发件人组织的电子邮件。有效的DKIM签名只验证了发件人创建的DKIM签名'S组织。这并不意味着电子邮件不是欺骗。攻击者可以轻松为她控制的域中创建有效的DKIM签名,同时欺骗域。  
  • 基于域的消息身份验证,报告&符合(DMARC): DMARC指定如何处理SPF和DKIM验证的电子邮件。结合SPF和DKIM,DMARC允许您对电子邮件进行身份验证,因为SPF验证了从可信源发送的电子邮件,并且DKIM验证它源自发件人's organization.

所有这些机制都依赖于DNS到功能,这意味着您还应该检查供应商是否有 DNSSEC. 启用以防止 DNS欺骗,也称为DNS缓存中毒.

减轻数据曝光和中间人风险

卖方'S网站往往是整体安全姿势的良好代表。

未加密的网站和没有适当的SSL配置的网站可以泄漏客户数据或者它被A拦截 人在中间攻击.

此外,运行易受攻击软件或代码的Web服务器表示无效 服务器硬化 和维护过程。

我们建议您查看以下验证者的可验证属性's website:

  • SSL加密详细信息: 包括是否启用了SSL,强制强制启用并存在。这也可以包括密码套件,加密强度和到期日期。
  • 软件类型和版本: 没有混淆,互联网上的匿名人员可以了解网站上运行的软件,包括什么版本。这允许它们扫描已知 漏洞,就像那些上市的那些 CVE.和潜力的探针 攻击向量.
  • 服务器标题: 许多Web服务器向互联网宣传有关自己的信息。像软件一样,未能遮挡这些标题可以透露 敏感信息.
  • cookie设置: 即使是网站处理饼干的方式也可以显示整体的迹象 数据安全。允许跨越未加密连接旅行的cookie会导致凭据和身份验证令牌的曝光。此外,未能将Cookie标记为HttpOnly允许它们由客户端脚本进行利用,然后可以使用该客户端脚本,然后可以用于模拟网站上的用户。

这些复杂的安全细节可能会被供应商忽视。考虑到第三方关系通常需要的敏感数据访问水平,令人不安的可能性。

减轻开放港口风险

最不特权的原则 会表明供应商应尽可能少的端口向互联网开放,以便 最小化潜在的攻击表面.

对于Web服务器,端口80和443将是典型的,但是,当无关端口留下开放时,可能会出现许多风险,包括诸如Wannacry和Petya之类的ransomware蠕虫,这些蠕虫蠕虫(如Wandacry和Petya)在Microsoft SMB端口(135-139,445)中利用了EternalBlue漏洞。

其他危险港口要注意:

  • Telnet(23): 打开的Telnet端口通常表示有源Telnet服务器。问题是Telnet极其不安全,永远不应该在企业中使用。
  • FTP(21): FTP是一个未加密的文件传输协议,这意味着通过它传递的信息易于中间人攻击。 SFTP和现在存在的许多其他选项替换它。
  • MSSQL(1433,1434): 数据库永远不会直接暴露在互联网上。所有数据库操纵必须通过精心控制的前端发生。从供应商外部直接数据库访问'S网络应该需要VPN连接。
  • MySQL(3306): 公开的数据库可以错误配置以允许匿名访问内部包含的任何和所有数据。无论是Linux还是Windows,都应不允许这些数据库端口到Internet。
  • SSH(22): SSH是加密协议,并且有时适合公开Internet,但大多数情况下它应该仅限于经过身份验证用户使用的网关服务器来跳到网络中的其他系统。将远程管理端口暴露于Internet可能导致系统妥协,如果发生弱,空白或默认密码,拙劣的权限集或软件中的漏洞。
  • LDAP / AD(389): 如果目录信息暴露于Internet,则应通过加密连接(636),但通常不会暴露在互联网上。无需仔细考虑,它可能导致企业结构,用户帐户名称和其他目录信息大量泄漏。

至少,开放或危险的港口是您的供应商风险团队应该向供应商询问的东西。

没有经验证据,你'将其留给您的供应商Word,这是一种衡量涉及互联网上传输敏感信息的新和现有供应商的风险的差。

阅读我们在这里的开放端口上的全帖.

如何使用安全评级衡量第三方风险

这些因素都没有自己讲述一个故事,但是当聚合在一起时,他们可以提供关于供应商的重要性如何重要的背景。

安全评级 参加此数据并量化它,以字母等级或数字分数的形式提供分数。

该分数可用于将一个供应商与另一个供应商进行比较,援助决策,并加快尽职调查过程。

将安全评级视为组织的数据驱动,目标和动态测量's 安全姿势.

安全评级提供技术团队成员,其中包含有关每个供应商的风险的逐项详细信息,同时为非技术利益相关者提供他们可以理解的理解得分。

此外,它们填补了传统的第三方风险评估方法中的空白,例如 渗透测试,现场访问,和 安全问卷。这些方法不仅是非常耗时的,它们仅提供对供应商的时间点评估's risk profile.  

这些都是庞大的差距,必须填补传统的第三方风险管理计划。

正如信用评级一样,通过提供对信贷价值的独立,客观和定量评估,安全评级对信用评估的主观性和对信用风险的时间点评估相同 网络安全风险.

安全评级对传统第三方风险管理进程的实际好处是它们经常自动生成和更新。

只要第三方有您的数据,它应该被评估。如果您在金融服务业工作,它'很可能是一个监管要求。

应在整个供应商的关系中继续评估,以确保您对风险的期望'由于初步评估后开放的新攻击向量被放置。  

Upguard是最受欢迎的安全评级平台之一。我们通过专有的算法产生了评级,通过参加和分析可信商业和开源威胁源以及非侵入式数据收集方法来定量评估供应商风险。

我们的安全评级范围为0到950,并由您所有供应商的风险评级的加权平均值组成'除了供应商的评级之外,还有底层。

特别是,Upguard安全评级可以帮助您了解您的供应商'S安全控制(或缺乏),允许您首先专注于最高风险。

此外,您可以要求供应商满足某些技术控制以处理您的数据。例如,您可能需要:

  • 电子邮件保护: 要求供应商实施足够的控制来减轻电子邮件欺骗和网络钓鱼的风险
  • 网站加密: 要求供应商使用SSL和加密最佳实践来防止中间人攻击
  • 端口管理: 要求供应商没有特定端口打开,尤其是数据库和文件传输的供应商。

通过使用Upguard供应商风险,您'LL能够快速查看缺少哪些控件并独立验证它们'在船上之前已经实施了。

大学教师'忘了供应商问卷

除了监控外部可观察的安全控制外,它还'对于您的供应商有关其内部数据处理实践和程序来说,很重要。

一个好的 供应商风险评估问卷模板 可以帮助简化风险的发现。以下是您可以包含的一些例子:

  • 你在云中存储数据吗?如果是,您需要采取哪些步骤来保护该数据?
  • 供应商将保留多少份数据副本?所有这些都能得到安全吗?
  • 将数据副本存储在笔记本电脑或其他工作站和移动设备上吗?
  • 数据是否会通过未加密的连接传输?
  • 如何访问客户数据被隔离供应商的员工?

这仅仅是开始, 这里获得我们的免费风险评估问卷模板 或者 阅读我们在顶级供应商问卷上的指南 .

Upguard如何帮助您管理第三方风险

Upguard将第三方风险管理(TPRM)与供应商数据泄漏检测结合起来,以降低数据泄露的风险,并提高网络安全缩放举措的效率。

点击这里 今天免费试用Upguard!

免费电子书

买家'■第三方风险管理指南

了解您需要了解第三方风险,管理供应商的功能,并避免数据泄露。
白色upguard徽标
买家'■第三方风险管理指南
可用于下载的Upguard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色upguard徽标
电子书,报告& Whitepapers
可用于下载的Upguard免费资源
Upguard客户支持团队Upguard客户支持团队Upguard客户支持团队

见上upguard

通过我们的网络安全专家预订免费,个性化的船上呼叫。
摘要形状摘要形状

相关文章

了解有关网络安全中最新问题的更多信息。
提供图标

注册我们的时事通讯

每周获取您收件箱中的最新策划网络安全新闻,违反,活动和更新。
摘要形状摘要形状
免费即时安全分数

您的组织有多安全?

请求免费网络安全报告以发现您的网站,电子邮件,网络和品牌的关键风险。
  • 检查图标
    即时洞察力您可以立即采取行动
  • 检查图标
    数百个风险因素,包括电子邮件安全,SSL,DNS健康,开放式端口和常见漏洞
网站安全扫描结果网站安全扫描评级摘要形状
发布时间: 2021-05-11 03:22:52

最近发表