在当今相互关联的世界中，没有一家企业是在孤岛上的。所有企业都必须与第三方合作（外部厂商、承包商、关联企业、合作伙伴以及其他人）发生多重联系。2018年，第三方供应商管理的网站配置错误导致第三方数据泄露事件，导致美国银行信用卡发卡机构TCMBank在2017年3月初-2018年7月中旬之间，大量信用卡申请人数据被曝光（包含姓名、地址、出生日期、社会安全号码）2018年6月，由于第三方管理的网站页面存在漏洞，赛门铁克身份保护服务Lifelock泄露了数百万客户的电子邮件地址；2018年6月，由于第三方承包商未能妥善保护环球音乐集团ApacheAirflow服务器（UMG）存储在云数据库中的所有内容都暴露在开放的互联网上，包括内部文件传输协议（FTP）凭据、AWS密钥内部和SQLroot密码等；今年6月，由于第三方服务器配置不当，MyHeritage家谱网站曝光了9200万用户的个人信息，包括用户密码、电子邮件等；同年6月，由于第三方服务提供商InbentaTechnologie提供的软件中包含恶意代码，活动票务巨头Ticketmaster发生数据泄露，影响近5家%全球用户，泄露的数据包括用户个人信息和银行卡数据等；2018年5月，由于第三方服务商提供的语音识别软件Nuance存在系统漏洞，导致包括旧金山卫生局加州大学圣地亚哥分校在内的客户信息被泄露，曝光4.5万份患者记录；2018年4月，由于第三方支付系统存在漏洞，北美高端百货零售商saksifhatvene成为saksifhatvene的第五大道、LordTaylor和SaksOff5th泄露了超过500万客户的信用卡和借记卡等个人财务信息。第三方成了薄弱环节从2013年的Target事件到上述案例，我们看到了与第三方的互动将如何改变灵活的环境（设备、服务、应用自由进出的环境），进入一个后门，黑客就能轻松渗透到公司网络的不稳定空间。根据对200多名企业信息技术和安全主管的调查、董事、经理进行的调查显示，56%的受访者表示非常担心他们控制或保护第三方访问的能力；48%40的受访者表示，第三方访问在过去三年中迅速增加，40的受访者表示%受访者认为，第三方访问将在未来三年继续增长；75%40的IT和安全人员认为第三方数据泄露非常严重，而且还在增加。与此同时，由IIA研究基金会和克劳霍瓦特尔联合发布的调查数据也显示：超过78%的受访者表示他们有能力控制或保护第三方访问“担忧”或“强烈担忧”高达90%的受访者表示，他们的公司喜欢使用第三方技术承包商；65%以上形容他们的企业“极度依赖”或“广泛运用”第三方供应商；结果很明显，如今，除了“粗心大意的内部员工”除了是安全链中最薄弱的一环，第三方承包商也成为了最薄弱的一环。说得好听点，这些都是企业安全领域的要点“痛点”第三方的主要威胁类型威胁1.共享凭据这是我们在大型企业中遇到的最危险的身份验证方法之一。想象一下一个不常使用的服务——，它需要某种形式的基于凭据的身份验证。随着时间的推移，该服务的用户发生了变化，但为了方便起见，凭据没有发生变化。目前，该服务可用于出于各种目的使用多个位置的不同设备登录。只要没有经验的用户落入凭证获取技术的陷阱，该服务及其后续登录用户就会处于危险之中公司内部的共享服务——，从数据库到通信协议，都将成为恶意行为者的主要目标。对用户行为的持续监控使系统管理员能够通过单独的身份验证协议映射和关联所有异常用户访问事件，以防止此类服务滥用。威胁2.对向合作伙伴授权内部凭证的公司的不定期访问必须确保他们有长期可靠的合作关系。管理和监控受信任的外部人员可能是一个不可避免的问题，尤其是当试图判断一个帐户是否被黑客攻击时。账户和资源使用的不规则和频繁变化，以及对信息技术政策和规则的不熟悉，将导致警报激增。信任合作公司或重要的内容和服务提供商应该从完全吸收终端用户的潜在使用模式开始。这意味着联合员工培训、密切监控和修复用户列表和预定义的参与用例。所有这些都有助于确保一旦您怀疑损坏的凭据被不当使用，您的安全操作中心（SOC）将能够识别并解决这个问题。威胁3.联合云（JointCloud）许多公司已经转向部署云驱动的安全解决方案。虽然云应用的使用规则受到了广泛关注，但我们也看到传统环境与云应用的关系变得更加复杂，形成了另一个未被充分利用的空间。展望未来，我们建议采用跨环境身份验证协议和措施，以更精细的粒度监控这些不断发展的攻击面。威胁4.公开暴露接入互联网并允许第三方远程登录的设备是外部攻击者梦寐以求的奖赏。通过使用社会工程和其他欺骗手段，攻击者可以轻松获得共享工作站的初始访问权限，并基于这一初始立足点渗透到您的网络中。采用安全的远程连接协议，并在工作站上应用额外的监控层，将有助于减少未经授权的外部访问的可能性，也可能在外人试图在您周围建立据点时提供有价值的信息。威胁5.特权帐户特权帐户为内部罪犯和恶意外人提供对敏感资源和信息的安全访问/或者修改自己的访问级别。这就是为什么特权帐户应该在共享访问工作站上隐藏或禁用，就像提供给受信任的外部人员一样。虽然这种方法并不总是可行的，因为大多数外部访问权限都授予了需要一定程度的更高权限才能提供服务或技术的组，但我们建议在这些设备上建立有针对性的访问组，以确保域控制规则和其他方面可以帮助实时识别异常。历史的惨痛教训和直观的数据告诫我们：关注第三方网络威胁已成为确保网络安全不可回避的话题。企业需要花一些时间来正确对待自己的第三方合作项目。以下10条安全建议可以帮助企业有效减少第三方威胁：安全建议1.综合考虑第三方公司的文化、在潜在威胁和风险规避层面开发项目之初，它的流行趋势是、变化和威胁等因素会对企业的成败产生非常明显的影响。许多项目最终会失败，因为他们的利益相关者无法表达第三方供应商如何为他们的业务带来好处，以及他们愿意在业务协议中承担多少风险。比如公司可以在东欧找一个低成本的代码开发者，短期内确实会省钱，但是这个离岸开发者真的适合公司的企业文化吗？和不尊重版权法的公司合作做生意真的值得吗？虽然有些企业觉得有些风险值得承担，但建议我们至少充分考虑潜在的负面影响。2.实施强有力的内部管理制度和政策，建立全公司范围的管理政策，可以为任何第三方风险管理项目奠定坚实的基础。让每一个员工都知道企业风险管理计划的目的是什么，让他们参与其中，发表意见。只有让他们每个人都清楚地知道，任何新的流程或责任都是为了防范第三方带来的安全风险，项目才能取得最好的效果。3.确定第三方供应商的风险等级，列出所有与公司有业务往来的供应商，然后归类为高风险、分为中风险和低风险。很多大企业认为自己应付不了5000—10000多家供应商，所以查风险最低的公司非常重要。还要记住，第三方包括供应商、合资子公司、子公司以及客户。比较成熟的程序认为，第三方一定是由连接到互联网或与之共享信息的企业组成。例如，供应商可以通过文件传输协议传输信息它们可能没有直接连接到网络，但敏感信息可能会被传输。公司需要对固有风险进行全面调查，如战略、合同、信息、运营监管和合规风险等。4.了解第三方的稳定性和运行状态如果企业面临经济压力，就会停止对安全管控的投入。在与第三方合作之前，应进行全面的背景调查。查明他们最近是否有任何安全事故？有没有新闻报道的负面消息，比如未决诉讼或者并购？了解DDoS攻击会对其提供服务的能力产生多大影响。探索其潜在风险，看看他们是否为安全事件提供任何服务支持是非常重要的。5．合规不一定意味着风险管理记住，规则/法规（如GDPR、SOX、HIPAA健康保险流通与责任法案和PCIDSS数据安全标准）都是最基本的标准。安全不仅仅意味着满足这些最低监管标准。安全领域的事情变幻莫测，有时候法律法规跟不上变化。例如，大多数法规并未将“勒索软件”其中，但当今时代的每个组织都在努力防止勒索软件。6.单纯依靠新技术是不可行的，但并不意味着技术没有帮助依靠新技术来帮助安全人员降低所有可能的风险只是一个不切实际的愿望。最好的方法还是依靠人、流程以及技术的结合。当然，这并不意味着技术无用。市场上有许多可用的技术，提供实时风险仪表板或风险管理平台。7.协商改善对第三方的控制在许多情况下，进一步降低风险根本没有任何经济意义。当风险造成的潜在损失小于实施风险管理措施的成本时，通常可以鼓励高级管理人员接受风险，并继续协商其他更不可接受的风险。此外，考虑风险转移也非常重要。作为合同谈判过程的一部分，企业可以要求第三方提供在线保险服务。如果风险很大，一定要在政策上保证企业的权益。对于高风险的合伙企业，企业应考虑自行购买一份网上保险，并将其作为唯一受益人。风险转移是一种相对容易但容易被遗忘的方法。公司可以通过法律协议或保险单将风险转移给第三方。现在很多商业财险和意外险都内置了网络保单或者附加险。8.仔细检查您的风险评估结果企业风险评估的审计结果对于企业的不同领域都非常重要（如采购、法律和安全）的内部审核具有非常重要的指导意义。企业应对审计中发现的风险进行审查，并要求第三方修改薄弱环节，以满足组织对安全性的要求。企业也要跟踪反馈后续操作，确保薄弱环节的修复活动能够落实。企业经常与第三方签订合同，但他们从不跟踪自己是否执行了合同中的最终条款。例如，如果第三方同意每周或每月检查日志，或者默认加密所有笔记本电脑，则有必要给出后续反馈，以确保他们已经真正实施了这些日志。9.并检测和报告风险水平，观察风险如何随第三方变化。第一份合同可能风险低，但第二份合同可能风险更大。制定流程，使企业能够证明第三方风险计划满足业务风险和监管要求。此外，应向执行团队提供持续风险评级报告，以表明第三方风险技术是否有效。10.开放沟通，与高风险第三方建立定期沟通。更新任何新活动的最新消息，并与他们重申违约通知的要求，以使信息共享更加方便。对于规模较大、对于比较成熟的第三方公司，建议每年进行一次现场检查，或者每季度进行一次远程通话和电话检查。