為什么評估第三方的安全風險仍然是一個懸而未決的問題

《福布斯》雜志日前發布了一篇關于美國最安全的網絡公司的報告，表明網絡安全對于企業來說日益重要。

第一部分：在網絡安全方面最安全的公司有哪些?

報告列出了在網絡安全方面最安全的全球公司，以下是入選名單：

頂級公司：谷歌、蘋果、微軟、亞馬遜

第二梯隊：美國銀行、高盛、富達、CapitalOne、Meta、LinkedIn、美國聯合航空公司、Akamai、Cloudflare、Fastly

這份清單并不全面。這也讓安全行業專家考慮還有哪些公司，其評估的標準是，“擁有大量的數據，或大規模的系統控制，并能保護這些數據安全。”

第二部分：第三方風險管理的問題

《福布斯》雜志將美國聯合航空公司和富達公司列入前20名。安全行業專家推薦的其他金融服務公司大多在前100名，但沒有一家基礎設施公司上榜。有趣的是，這份報告認同這一觀點，即美國聯合航空公司在業內遙遙領先。美聯航的首席信息安全官Deneen DeFiore在網絡安全方面的工作一定很出色。

這份榜單由第三方風險管理(TPRM)行業的旗艦公司之一SecurityScorecard公司提供。第三方風險管理公司面臨的挑戰是：為與其他企業有業務往來的企業提供一種機制，從網絡安全的角度來評估供應商給他們帶來的風險。SecurityScorecard公司和它的主要競爭對手BitSight公司使用了類似的方法：創建風險評分(有點像信用評分)，評估企業，然后給它們打分。

這聽起來很簡單，對吧? 但并不是這么簡單。想象一下，如果信用報告機構決定開始使用信用評分算法來評估大型企業的網絡安全性。他們當然會看起來很糟糕!想想谷歌公司的邊界(所有公開可見的IP地址)與英特爾公司(在福布斯榜單上排名第一)的規模。英特爾公司是全球主要的芯片制造商，安全專家希望這些公司的外部足跡很小，但并不知道他們的網絡安全實踐，希望他們不要把重點放在網站安全(這對他們的評級有影響)上，而是放在他們的產品和制造安全(這對他們的評級沒有影響)上。另一方面，谷歌公司作為互聯網主要公司之一，他們的可尋址IP空間是世界上最大的IP空間之一，所以從外部看，他們的網絡安全態勢當然看起來很糟糕，特別是如果衡量標準之一是攻擊面的大小。

無論好壞，信用報告機構比TPRM評分機構擁有更多的數據。它們根植于金融系統，收集了很多不應該公開的信息。另一方面，TPRM評分機構做的是類似于駕車評估的工作。他們在互聯網上看企業的外部安全，并根據企業形象來決定他們的信譽。當然，某些業務類型看起來比其他業務更安全。

遺憾的是，TPRM評分的替代方案是TPRM問卷調查行業，它的幫助微乎其微。這是一個專注于向供應商發送大量調查問卷的行業，收集這些問卷需要付出巨大的努力。然后，專門的團隊會審查答案，尋找任何看起來是否定的答案來跟進(所有成熟的供應商現在都知道永遠不要對任何問題說“不”)。現在該行業都專注于簡化這些問卷的填寫。

TPRM評分問題尚未得到解決。企業確實需要了解他們從供應商那里繼承的實際風險，包括內在風險(供應商給企業帶來的風險)和使用風險(使用供應商的方式造成的風險)。不幸的是，無論是評分還是問卷調查都無法解決這個問題。