第四方風(fēng)險(xiǎn)管理是識(shí)別、評(píng)估和減輕由您的第三方供應(yīng)商（您的供應(yīng)商的供應(yīng)商）的供應(yīng)商構(gòu)成的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的過程。隨著數(shù)字化轉(zhuǎn)型壓縮 IT 生態(tài)系統(tǒng)之間的界限，如果您的任何供應(yīng)商受到威脅，他們都可能從值得信賴的供應(yīng)商轉(zhuǎn)變?yōu)殛P(guān)鍵數(shù)據(jù)泄露攻擊媒介。

雖然管理第三方安全風(fēng)險(xiǎn)的重要性現(xiàn)已 在網(wǎng)絡(luò)安全行業(yè)得到廣泛認(rèn)可，但很少有組織會(huì)考慮第四方風(fēng)險(xiǎn)的影響。這篇文章概述了實(shí)施第四方風(fēng)險(xiǎn)管理程序的框架，以保護(hù)您的數(shù)據(jù)免受這個(gè)被忽視的攻擊面區(qū)域的影響。

為什么第四方風(fēng)險(xiǎn)管理很重要？

第四方風(fēng)險(xiǎn)管理很重要，因?yàn)槭軗p的第四方供應(yīng)商可能導(dǎo)致您的組織遭受數(shù)據(jù)泄露。要了解使這些事件成為可能的途徑，請(qǐng)考慮您的公司與在線交易處理器合作的場(chǎng)景。反過來，該平臺(tái)可能會(huì)將其所有信用卡處理外包給自己的第三方（您的第四方）。

如果此信用卡處理器沒有足夠的安全措施，網(wǎng)絡(luò)犯罪分子可能會(huì)利用它們，導(dǎo)致交易處理器的敏感數(shù)據(jù)也被泄露。由于您的企業(yè)還與交易處理器共享敏感的內(nèi)部信息以支持其服務(wù)，??因此當(dāng)它們受到損害時(shí)，您的企業(yè)也會(huì)遭到破壞。數(shù)字化轉(zhuǎn)型具有將攻擊面與每個(gè)已建立的供應(yīng)商關(guān)系相結(jié)合的不良且不可避免的影響。現(xiàn)在，不僅您的第三方供應(yīng)商的漏洞會(huì)影響您的安全態(tài)勢(shì)，您的第四方風(fēng)險(xiǎn)也會(huì)在影響您的風(fēng)險(xiǎn)偏好方面發(fā)揮關(guān)鍵作用。

第三方風(fēng)險(xiǎn)管理與第四方風(fēng)險(xiǎn)管理的區(qū)別

第三方風(fēng)險(xiǎn)管理側(cè)重于您的直接供應(yīng)商帶來的安全風(fēng)險(xiǎn)，而第四方風(fēng)險(xiǎn)管理則將這種審查擴(kuò)展到供應(yīng)商的合作伙伴。由于與您的第四方供應(yīng)商缺乏直接業(yè)務(wù)關(guān)系，外部監(jiān)控解決方案（例如攻擊面監(jiān)控工具和供應(yīng)商風(fēng)險(xiǎn)管理平臺(tái)）對(duì)于填補(bǔ)這些抵消關(guān)系造成的可見性差距至關(guān)重要。

實(shí)施 FPRM 的三支柱框架

重要的是要了解，與 TPRM 一樣，F(xiàn)PRM 不是一項(xiàng)獨(dú)立的網(wǎng)絡(luò)安全計(jì)劃。它。應(yīng)與您現(xiàn)有的網(wǎng)絡(luò)安全計(jì)劃無縫集成。要了解這些集成應(yīng)該如何工作，請(qǐng)參閱這篇文章。遵循此框架來擴(kuò)展您的網(wǎng)絡(luò)安全計(jì)劃以包括第四方風(fēng)險(xiǎn)管理。

1.確定所有關(guān)鍵的第四方供應(yīng)商

由于一般組織與11 家第三方供應(yīng)商合作，映射您在該網(wǎng)絡(luò)中的敏感數(shù)據(jù)流是一項(xiàng)相當(dāng)大的工作。但是當(dāng)你進(jìn)一步放大并考慮從每個(gè)第三方節(jié)點(diǎn)分支出來的第四方網(wǎng)絡(luò)時(shí)，這個(gè)過程就變成了邏輯上的噩夢(mèng)。

值得慶幸的是，第四方風(fēng)險(xiǎn)管理計(jì)劃并不要求對(duì)所有第四方進(jìn)行同等監(jiān)控。以高效第三方風(fēng)險(xiǎn)管理程序?yàn)樘卣鞯膬?yōu)先級(jí)排序原則也適用于 FPRM。在第三方風(fēng)險(xiǎn)管理計(jì)劃（也稱為供應(yīng)商風(fēng)險(xiǎn)管理計(jì)劃）中，供應(yīng)商是分層的，以便關(guān)鍵供應(yīng)商——那些處理更高程度敏感數(shù)據(jù)的供應(yīng)商——在風(fēng)險(xiǎn)緩解工作中優(yōu)先考慮。

建立 FPRM 的第一步是確定所有關(guān)鍵的第四方。關(guān)鍵性不一定僅由正在處理的敏感數(shù)據(jù)的程度決定——盡管這應(yīng)該是一個(gè)主要的決定指標(biāo)。如果供應(yīng)商自己的供應(yīng)商因網(wǎng)絡(luò)攻擊或任何其他業(yè)務(wù)中斷而被迫下線，關(guān)鍵性也會(huì)受到對(duì)您的業(yè)務(wù)運(yùn)營(yíng)的潛在影響程度的影響。

確定您的關(guān)鍵供應(yīng)商仍然是一個(gè)需要克服的相當(dāng)大的障礙。最簡(jiǎn)單的方法是詢問那些比你更了解你的第四方的人——你的第三方供應(yīng)商。風(fēng)險(xiǎn)評(píng)估或安全問卷是理想的使用工具。由于不存在行業(yè)標(biāo)準(zhǔn)的第四方風(fēng)險(xiǎn)調(diào)查問卷，因此您可以通過為此目的定制設(shè)計(jì)安全調(diào)查問卷來更準(zhǔn)確地反映每個(gè)第四方關(guān)系。自定義問卷生成器，允許風(fēng)險(xiǎn)管理團(tuán)隊(duì)自定義現(xiàn)有的監(jiān)管標(biāo)準(zhǔn)問卷或從空白畫布構(gòu)??建完全定制的設(shè)計(jì)。

以下是一些可以幫助您衡量每個(gè)第四方供應(yīng)商的重要性的問題：

1. 供應(yīng)商對(duì)您向我公司提供您承諾的產(chǎn)品/服務(wù)的能力是否至關(guān)重要？
2. 遭受中斷的供應(yīng)商是否會(huì)啟動(dòng)您的業(yè)務(wù)連續(xù)性計(jì)劃？
3. 服務(wù)提供商是否有權(quán)訪問我的任何敏感數(shù)據(jù)？如果是這樣，與他們共享什么類型的數(shù)據(jù)，這種訪問的原因是什么？
4. 如果供應(yīng)商受到威脅，有哪些安全措施可以保護(hù)我的敏感數(shù)據(jù)？
5. 供應(yīng)商的服務(wù)可用性是否取決于您遵守任何數(shù)據(jù)安全法規(guī)（例如GDPR）的能力？

對(duì)這些問題的回答將使您能夠按關(guān)鍵程度對(duì)第四方供應(yīng)商進(jìn)行分級(jí)，從而輕松識(shí)別在監(jiān)控工作中需要優(yōu)先考慮的實(shí)體。如前所述，您對(duì)分層策略的選擇取決于您獨(dú)特的信息安全要求。如果您不確定使用哪個(gè)指標(biāo)來通知此結(jié)構(gòu)，您可以使用的客觀且廣泛采用的安全狀況指標(biāo)是安全評(píng)級(jí)。

盡管定制的安全調(diào)查問卷可以幫助您了解大部分關(guān)鍵的第四方供應(yīng)商，但由于不準(zhǔn)確或不完整的回答，仍然存在一些被忽視的風(fēng)險(xiǎn)。為了填補(bǔ)這些空白，應(yīng)將攻擊面監(jiān)控解決方案與安全問卷結(jié)合使用。

供應(yīng)商風(fēng)險(xiǎn)管理平臺(tái)， 會(huì)自動(dòng)發(fā)現(xiàn)您網(wǎng)絡(luò)中的所有第四方供應(yīng)商，幫助您跟蹤在此階段被查詢的所有第四方。在建立第四方關(guān)系基線后，可以在您了解更多第四方供應(yīng)商時(shí)添加它們，以簡(jiǎn)化向前推進(jìn)的第四方供應(yīng)商映射工作。

當(dāng)單獨(dú)使用時(shí)間點(diǎn)評(píng)估（例如安全問卷）時(shí)，被忽視的攻擊媒介的風(fēng)險(xiǎn)總是很普遍。這就是為什么最好的供應(yīng)商風(fēng)險(xiǎn)管理平臺(tái)將風(fēng)險(xiǎn)評(píng)估和安全評(píng)級(jí)解決方案的增強(qiáng)標(biāo)準(zhǔn)化以生成實(shí)時(shí)安全態(tài)勢(shì)跟蹤的原因。

2. 將第四方風(fēng)險(xiǎn)管理納入您的盡職調(diào)查流程

在確定了您當(dāng)前所有關(guān)鍵的第四方服務(wù)提供商之后，應(yīng)將新的第四方供應(yīng)商發(fā)現(xiàn)添加到盡職調(diào)查流程中，以簡(jiǎn)化這項(xiàng)工作。此過程應(yīng)涉及查詢每個(gè)新供應(yīng)商的第三方和分包商的自定義評(píng)估。以下是一些可幫助您在盡職調(diào)查階段評(píng)估第四方供應(yīng)商風(fēng)險(xiǎn)的問題：

• 您與第三方服務(wù)提供商和承包商有任何合同嗎？
• 這些實(shí)體是否可以訪問您的數(shù)據(jù)？
• 所有被訪問數(shù)據(jù)的敏感度是多少？
• 您的任何第三方合同是否會(huì)在海外處理數(shù)據(jù)？
• 所有外包數(shù)據(jù)處理的敏感度是多少？
• 您對(duì)每份第三方合同都進(jìn)行了哪些盡職調(diào)查？
• 您從第三方關(guān)系中發(fā)現(xiàn)了哪些集中風(fēng)險(xiǎn)，發(fā)現(xiàn)這些風(fēng)險(xiǎn)的過程是怎樣的？
• 這些風(fēng)險(xiǎn)中有多少得到了補(bǔ)救？
• 您如何衡量每項(xiàng)補(bǔ)救措施的成功與否？

一些可用于評(píng)估第四方供應(yīng)商安全狀況的安全風(fēng)險(xiǎn)評(píng)估包括：

• 供應(yīng)商安全調(diào)查問卷。
• 滲透測(cè)試。
• 安全審計(jì)。
• 合規(guī)評(píng)估。?
• 鑒證業(yè)務(wù)標(biāo)準(zhǔn)聲明 (SSAE 18)。
• 安全認(rèn)證，例如ISO 27001或SOC 2。

3.持續(xù)監(jiān)控關(guān)鍵的第四方供應(yīng)商

通過將所有關(guān)鍵的第四方供應(yīng)商單獨(dú)分組并將新的第四方供應(yīng)商發(fā)現(xiàn)嵌入到盡職調(diào)查過程中，第四方風(fēng)險(xiǎn)管理計(jì)劃的基礎(chǔ)已經(jīng)奠定。現(xiàn)在，重點(diǎn)是通過監(jiān)控關(guān)鍵的第四方供應(yīng)商是否存在新出現(xiàn)的安全風(fēng)險(xiǎn)來確保您的辛勤工作不會(huì)白費(fèi)。

持續(xù)監(jiān)控是此風(fēng)險(xiǎn)管理生命周期的第三階段，導(dǎo)致提高第四方安全風(fēng)險(xiǎn)彈性的周期性努力。

通過風(fēng)險(xiǎn)評(píng)估對(duì)監(jiān)測(cè)工作中新發(fā)現(xiàn)的風(fēng)險(xiǎn)進(jìn)行更詳細(xì)的審查，為設(shè)計(jì)有針對(duì)性的補(bǔ)救措施提供信息。然后監(jiān)控這些補(bǔ)救措施的有效性以及新風(fēng)險(xiǎn)的出現(xiàn)，并繼續(xù)循環(huán)。隨著周期的每一次轉(zhuǎn)折，第四方風(fēng)險(xiǎn)管理程序變得更加優(yōu)化，并且能夠更好地發(fā)現(xiàn)、補(bǔ)救和管理第四方風(fēng)險(xiǎn)。

由于您的風(fēng)險(xiǎn)管理團(tuán)隊(duì)與第四方供應(yīng)商之間沒有明確的溝通渠道，因此監(jiān)控第四方攻擊面不應(yīng)該只落在您的肩上。應(yīng)鼓勵(lì)您的第三方供應(yīng)商通過實(shí)施具有攻擊面監(jiān)控功能的 VRM 程序來承擔(dān)其供應(yīng)商風(fēng)險(xiǎn)。

在相信您的供應(yīng)商會(huì)有效地監(jiān)控他們的第三方供應(yīng)商之前，首先必須確認(rèn)兩件事：

• 他們有一個(gè)供應(yīng)商風(fēng)險(xiǎn)管理計(jì)劃。
• 該 VRM 程序能夠有效監(jiān)控新興的第三方網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

這兩個(gè)查詢都可以通過供應(yīng)商風(fēng)險(xiǎn)評(píng)估來確認(rèn)。如果您的供應(yīng)商尚未解決其第三方的潛在風(fēng)險(xiǎn)，是向他們推薦的絕佳解決方案。

您應(yīng)該監(jiān)控的第四方風(fēng)險(xiǎn)類型

需要監(jiān)控的一些常見第四方風(fēng)險(xiǎn)包括：

1. 數(shù)據(jù)泄露和數(shù)據(jù)泄漏：未經(jīng)授權(quán)訪問敏感數(shù)據(jù)可能會(huì)給您的組織帶來重大的財(cái)務(wù)、法律和聲譽(yù)后果。數(shù)據(jù)泄露是需要監(jiān)控的重要攻擊媒介，因?yàn)樗鼈儠?huì)加快數(shù)據(jù)泄露過程。
2. 訪問控制不足：管理不善的訪問控制可能會(huì)將您組織的數(shù)據(jù)暴露給未經(jīng)授權(quán)的用戶，從而增加數(shù)據(jù)泄露的可能性。
3. 加密和安全措施不足：安全措施薄弱或過時(shí)會(huì)使網(wǎng)絡(luò)犯罪分子更容易訪問敏感信息。
4. 不遵守法規(guī)：不遵守適用的法規(guī)，例如 GDPR 或 HIPAA，可能會(huì)導(dǎo)致罰款、罰款和聲譽(yù)受損。
5. 軟件漏洞和過時(shí)的系統(tǒng)：未修補(bǔ)的漏洞和過時(shí)的系統(tǒng)會(huì)使您的組織面臨各種網(wǎng)絡(luò)安全威脅。
6. 內(nèi)部威脅和人為錯(cuò)誤：內(nèi)部威脅，無論是有意還是無意，都可能危及組織數(shù)據(jù)和系統(tǒng)的安全。