企業如何防御第四方風險

在今天這個高度互聯的世界中，企業不但面臨來自供應商的第三方安全風險，更要提防第四方風險——供應商的供應商。第四方風險不但攻擊面更大，而且也同樣很容易影響和傳導到企業自身。

最近發生的供應鏈攻擊，諸如SolarWinds漏洞、Microsoft Exchange服務器攻擊和Fastly中斷等事件表明，傳統的第三方風險管理(TPRM)程序不足以生提供對供應鏈風險的必要可見性。

由于第四方通常沒有義務與其客戶的合作伙伴共享信息，因此很多企業已經開始著手調整其TPRM計劃以解決第四方風險問題。幸運的是，公司可以采取一些措施來提高他們對下游風險的了解和保護。

了解您的第三方合作伙伴

盡管企業對第四方風險威脅的認識不斷提高，但尚未為第四方建立明確的安全策略指導方針和統一的流程，從而導致脫節的臨時流程。這些流程中的大多數是手動的，需要大量的時間和勞動力投資，并可能出現錯誤和疏忽。

針對該漏洞，建議企業采取以下措施限制第四方風險：

01確定關鍵任務供應商

第一步也是最重要的一步是確定對公司至關重要的供應商，然后確定他們的第三方。在供應商風險評估過程中，公司應向第三方合作伙伴索取其關鍵供應商的列表，以及他們可以訪問哪些敏感數據。他們還應要求第三方通知他們他們希望對其第三方關系進行的任何更改。

然而，即使供應商提供了所要求的信息，在第四方級別的信息報告和可訪問性方面仍然存在問題，因為第三方可能缺乏執行盡職調查的資源或可能不愿意共享敏感信息。

出于這個原因，利用好每個可用來進行源驗證的數據很重要，包括獲取第三方使用的開源軟件列表、他們的業務連續性和災難恢復計劃、他們的互聯網安全管理系統以及他們使用的互聯網技術他們的網站和IT供應鏈。

02尋找集中化風險

對于企業而言，對其整體供應商組合進行更廣泛的審查以識別多個供應商共有的任何第四方也很重要。即使一家公司的第三方供應商基礎各不相同，但如果其供應商在其關鍵職能上利用同一家供應商，它仍可能面臨集中風險。

例如，微軟Azure、谷歌云、亞馬遜云等公共云服務商，它們被全球數以萬計的公司使用。如果這些巨頭之一倒閉，其影響可能波及多個供應商，對公司構成嚴重風險。最近的Kaseya供應鏈攻擊與Solarwinds類似，是對單個公司的軟件產品的攻擊造成破壞性后果的另一個例子，該產品已影響到其全球數千名客戶。對第四方集中風險的可見性使公司能夠更快地識別和響應威脅。

03建立持續監控策略

由于公司與第四方沒有直接的合同關系，管理他們的風險比監督第三方的風險更具挑戰性。關鍵是擴大現有TPRM計劃的范圍，以包括對第四方的監控。

第一步是讓公司了解他們的第三方如何監控他們的供應商。這包括直接監控（即他們正在做什么來監控他們的第三方）和一般供應商管理（即他們是否有自己的供應商管理程序以及它的有效性如何）。公司可以通過定期績效評估以及年度風險和盡職調查重新評估來提出這些問題。完成此實踐的最佳方法是使用正確的技術，通過不斷不斷增加數據源收集數據來持續評估威脅。

最后，尤其是對于關鍵任務供應商，企業應持續監控其第四方，而不是等到第三方提供違規通知。通過主動監控降低風險，整個供應商生態系統變得更安全、更高效。

04自動化和編排是關鍵

監控第四方的一種方法是選擇一個供應商風險管理解決方案，該解決方案可在所有風險域中自動化和協調TPRM程序。先進的風險管理方案能使用自然語言處理和復雜的數據，不斷地從人、文檔和機器收集信息，執行分析并在數據源之間創建反饋循環。這可以從第三方及其他方面提供可運營的風險洞察，最終降低風險和運營成本，同時提高準確性和企業績效。

這些解決方案使公司能夠前所未有地了解第四方風險并消除集中風險——為安全專家節省大量工作，并使他們能夠專注于更高價值的任務。