2024年第三方風(fēng)險管理(TPRM)趨勢預(yù)測

隨著物聯(lián)網(wǎng)(IoT)技術(shù)的加速采用,組織的攻擊面也將不可避免地擴(kuò)大。而當(dāng)組織管理第三方供應(yīng)商的廣泛供應(yīng)鏈時,這種擴(kuò)展會增加十倍,因為每個供應(yīng)商的攻擊面也在增長。

本文來自微信公眾號“嘶吼專業(yè)版”,作者/小二郎。

無論您的組織是否做好了準(zhǔn)備,與第三方合作伙伴關(guān)系相關(guān)的風(fēng)險都將繼續(xù)增加。2022年,僅在美國就發(fā)生了1802起數(shù)據(jù)泄露事件,泄露了超過4.22億人的信息。雖然這些數(shù)字足以嚇到任何組織,但許多報告預(yù)計,這些數(shù)字將在整個2024年繼續(xù)飆升。

隨著供應(yīng)鏈的擴(kuò)展和漏洞數(shù)量的增加,有一件事是始終不變的:您的組織需要積極地對待第三方風(fēng)險管理(TPRM)。

最好的TPRM程序足夠強(qiáng)大,可以防止嚴(yán)重的數(shù)據(jù)泄露,并且足夠靈活,可以保護(hù)組織免受新出現(xiàn)的威脅困擾。

繼續(xù)閱讀本文,了解您的組織在2024年應(yīng)該注意的TPRM趨勢,并學(xué)習(xí)如何適當(dāng)調(diào)整您的TPRM計劃。

2024年第三方風(fēng)險管理趨勢

1.攻擊面將擴(kuò)大

隨著物聯(lián)網(wǎng)(IoT)技術(shù)的加速采用,組織的攻擊面也將不可避免地擴(kuò)大。而當(dāng)組織管理第三方供應(yīng)商的廣泛供應(yīng)鏈時,這種擴(kuò)展會增加十倍,因為每個供應(yīng)商的攻擊面也在增長。

2019年的一項研究預(yù)測,到2030年,將有超過1240億個物聯(lián)網(wǎng)設(shè)備投入使用。這種巨大的擴(kuò)張可能會帶來毀滅性的后果,因為網(wǎng)絡(luò)犯罪分子正企圖利用數(shù)據(jù)安全基礎(chǔ)設(shè)施薄弱的新端點。2017年,黑客通過入侵一個有wifi功能的魚缸,從一家賭場竊取了10GB的數(shù)據(jù)。

雖然這起事件在當(dāng)時看來很新鮮,但隨著攻擊面擴(kuò)大,類似事件可能會變得越來越常見。組織保護(hù)自身免受這種新興威脅影響的最佳方法是消除盲點,并獲得對整個供應(yīng)鏈的可見性。

2.供應(yīng)商風(fēng)險和漏洞將增加

到2023年底,供應(yīng)商違規(guī)事件的影響將到達(dá)一個驚人的十字路口:組織將繼續(xù)把關(guān)鍵業(yè)務(wù)功能外包給更多的第三方服務(wù)提供商,而供應(yīng)鏈攻擊也將達(dá)到新的復(fù)雜程度。即使是2020年的SolarWinds攻擊,現(xiàn)在估計也是一個涉及1000多名黑客的復(fù)雜工程。

展望未來,網(wǎng)絡(luò)犯罪分子將越來越頻繁地瞄準(zhǔn)供應(yīng)鏈,而不是直接瞄準(zhǔn)個別公司。組織防止此類攻擊的唯一方法是維護(hù)其供應(yīng)商風(fēng)險管理(VRM)計劃,并根據(jù)需要安裝新的保護(hù)措施。

3.供應(yīng)商風(fēng)險和內(nèi)部風(fēng)險將趨同/融合

雖然供應(yīng)商和內(nèi)部風(fēng)險的融合似乎是顯而易見的,但實際情況卻并非總是如此。甚至在五年前,組織還在以不同的理念和網(wǎng)絡(luò)安全策略來處理內(nèi)部和外部生態(tài)系統(tǒng)。一些組織可能仍然配置專門的團(tuán)隊分別專注于TPRM或組織的內(nèi)部安全態(tài)勢。

然而,隨著供應(yīng)鏈的持續(xù)擴(kuò)展以及組織對更多第三方供應(yīng)商的依賴,供應(yīng)商風(fēng)險和內(nèi)部風(fēng)險之間的界限將繼續(xù)模糊。隨著這些界限的模糊,組織將意識到他們的內(nèi)部系統(tǒng)與供應(yīng)鏈中的供應(yīng)商相關(guān)風(fēng)險之間沒有實際的區(qū)別。

展望未來,組織應(yīng)該采取全面的網(wǎng)絡(luò)安全方法,并將供應(yīng)商風(fēng)險管理納入組織的內(nèi)部風(fēng)險計劃中。畢竟,持續(xù)關(guān)注法規(guī)遵從性(下文將詳細(xì)介紹)將要求組織以新的審查水平執(zhí)行供應(yīng)商盡職調(diào)查,因為許多隱私法致力于讓組織對其供應(yīng)商的疏忽負(fù)責(zé)。

為了加強(qiáng)TPRM流程并將其集成到整體安全框架中,組織可以采取的第一步是將所有風(fēng)險數(shù)據(jù)(內(nèi)部或外部)整合到一個安全位置。

4.ESG關(guān)注將升級

隨著消費者對可持續(xù)性、人權(quán)和道德商業(yè)實踐的需求不斷增加,環(huán)境、社會和治理(ESG)框架將繼續(xù)受到更多TPRM的關(guān)注。

在整個2023年及未來,組織將尋求與符合其內(nèi)部價值觀的供應(yīng)商建立專門的第三方關(guān)系。目前,還沒有一個被普遍接受的框架作為ESG評估的標(biāo)準(zhǔn)。

然而,隨著以下任何一種ESG框架在特定行業(yè)中變得司空見慣,這種情況可能會迅速改變:

○GRI標(biāo)準(zhǔn):全球可持續(xù)發(fā)展報告倡議組織(GRI)發(fā)布的一套報告標(biāo)準(zhǔn);

○SASB標(biāo)準(zhǔn):可持續(xù)發(fā)展會計準(zhǔn)則委員會(SASB)制定的一系列針對特定行業(yè)的ESG披露標(biāo)準(zhǔn);

○UNGC標(biāo)準(zhǔn):聯(lián)合國全球契約組織(UNGC)制定的一套標(biāo)準(zhǔn);

○TCFD框架:氣候相關(guān)財務(wù)信息披露工作組制定的一套披露體系,旨在披露氣候變化對企業(yè)財務(wù)績效和公司市值帶來的實質(zhì)性影響;

5.自動化將達(dá)到新的高度

雖然一些組織可能仍然使用手動策略進(jìn)行供應(yīng)商風(fēng)險管理,但網(wǎng)絡(luò)安全行業(yè)已經(jīng)不再接受電子表格或手動報告作為最佳實踐。

自動化將繼續(xù)主導(dǎo)未來的對話,因為TPRM的每個階段都變得過于復(fù)雜,無法手動跟蹤。機(jī)器學(xué)習(xí)和人工智能等自動化技術(shù)的持續(xù)崛起,也反映了該行業(yè)致力于領(lǐng)先網(wǎng)絡(luò)犯罪分子的決心。

那些還沒有在TPRM程序中實現(xiàn)自動化的組織可能對隱藏的數(shù)據(jù)風(fēng)險視而不見,因為他們的風(fēng)險預(yù)防策略效率低下且無效。

在TPRM程序中實施自動化將允許組織實現(xiàn)下述目標(biāo):

○縮短供應(yīng)商風(fēng)險評估流程;

○改善業(yè)務(wù)連續(xù)性和決策能力;

○提高風(fēng)險識別效率;

○實現(xiàn)24/7供應(yīng)商監(jiān)控;

○快速緩解和修復(fù)安全風(fēng)險;

○改善供應(yīng)商關(guān)系;

○高效擴(kuò)展VRM計劃;

6.零日漏洞將繼續(xù)帶來災(zāi)難

在過去兩年中,零日攻擊(在開發(fā)人員意識到漏洞之前發(fā)生的攻擊)的發(fā)生令人震驚。Mandiant在2021年報告了81次零日攻擊,2022年報告了55次。在這136次攻擊中,有幾次非常有效,造成了毀滅性的破壞。隨著黑客繼續(xù)尋找新的漏洞并持續(xù)改進(jìn)其策略,零日攻擊將在整個2023年及未來繼續(xù)產(chǎn)生嚴(yán)重后果。

據(jù)報道,發(fā)生于2023年7月的MOVEit零日攻擊影響了122家組織,暴露了大約1500萬人的數(shù)據(jù)。

為了對抗這種趨勢并防御類似于MOVEit漏洞的攻擊,組織應(yīng)該使用零信任架構(gòu)(ZTA)來改進(jìn)其TPRM程序。數(shù)據(jù)保護(hù)和信息安全的零信任方法允許組織在不犧牲供應(yīng)商關(guān)系的運營優(yōu)勢的情況下,提高其第三方風(fēng)險抵御能力。

一些組織(如受拜登總統(tǒng)網(wǎng)絡(luò)安全行政命令監(jiān)管的組織)被要求將ZTA納入其網(wǎng)絡(luò)安全計劃。

在TPRM計劃中實施零信任策略將包括兩個主要步驟:

○安裝供應(yīng)商特權(quán)訪問管理(VPAM)控件;

○在整個供應(yīng)商生命周期中進(jìn)行全面的供應(yīng)商風(fēng)險評估。

在開始開發(fā)新技術(shù)之前,一直忙于新開發(fā)的組織也應(yīng)該考慮項目的網(wǎng)絡(luò)安全風(fēng)險。

7.數(shù)據(jù)隱私法將主導(dǎo)對話

當(dāng)歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)于2018年正式生效時,數(shù)據(jù)隱私的閘門就此打開。聯(lián)合國目前估計,全球71%的國家已經(jīng)實施了某種形式的數(shù)據(jù)隱私制裁。

雖然美國聯(lián)邦政府尚未制定自己的全面數(shù)據(jù)隱私政策,但美國許多州已經(jīng)通過了全面的隱私立法,以保護(hù)州居民的個人信息。

數(shù)據(jù)立法往往進(jìn)展緩慢。然而,隨著規(guī)范現(xiàn)代技術(shù)的法律變得更加普遍,這種情況可能會在2024年發(fā)生變化。

每個組織都應(yīng)該準(zhǔn)備好在未來幾年承受風(fēng)險和遵從性法規(guī)的沖擊。組織還應(yīng)該開始為新的供應(yīng)鏈風(fēng)險做好準(zhǔn)備,因為他們的供應(yīng)商也在同樣的變化條件下前行。

組織應(yīng)該在TPRM程序中實施嚴(yán)格的入駐和供應(yīng)商評估協(xié)議,以在這種趨勢中更好地保護(hù)自己。

參考及來源:https://www.upguard.com/blog/tprm-trends-2024

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論