如今，大量企业都需要第三方机构的支持才能保证业务正常运营。HR系统、财务系统、法务系统、企业IT设施与软件等都需要依靠一些第三方平台或软件来处理工作。但是，这些合作在带来便利的同时也带来了风险与挑战。有报告显示，56%的企业数据泄露 都源自第三方供应商；42%的企业都因为第三方供应商遭遇攻击而出现数据泄露。前不久，FaceBook还因为第三方数据泄露而再次成为众矢之的。因此，为了保护企业数据安全，企业不仅要抵御自身所面临的内外部安全威胁，还要进行第三方风险管理（TPCRM）。  

第三方风险

一般来说，第三方包括企业直接合作的公司，如数据管理公司、律师事务所、电子邮件提供商，网络托管公司，子公司，供应商，分包商等等，只要可以访问企业系统或数据的任何员工或企业都算第三方。但是，第三方网络风险并不仅限于这些公司或员工，企业业务涉及的软件、硬件也都会带来网络风险。钓鱼、被入侵的软件、云存储和IoT设备、水坑攻击、收购并购导致的架构调整等都是常见的第三方风险。

但是，调查显示，目前第三方风险管理大多成效不好，有一些挑战和需要改进的地方。

第三方风险管理耗费大量人力和财力

Ponemon Institute与CyberGRX联合发布的《第三方网络风险管理成本》报告，揭露了第三方风险管理的现状与成本。报告的调查对象包括600多名IT安全专家，这些专家来自多个不同领域，且直接参与所在企业组织的TPCRM项目管理。他们反馈的都是TPCRM相关的一线信息。

第三方安全风险调查与评估现状

第三方机构多如潮涌，每年需要花费超过15000个小时去进行评估；

企业没有洞察力，54%的机构认为评估结果价值有限；

评估之后，能投入实践的不到8%；

一旦不成功，成本会很高（70%的机构认为第三方风险管理一旦失败，成本会达到1300万美元；这些成本包括对声誉和品牌的影响、股价下跌、丢生意等）。

报告发现，现阶段第三方风险管理存在的问题主要有：

1. 目前支撑TPCRM、评估第三方机构的实例和技术较为稀缺，且成本较高、效果不好；

2. 使用更好的调查和评估工具能提升TPCRM的效率并降低维护项目的成本；

3. 对所有第三方使用相同的方法也可能增加成本；最好是花一些事件确认第三方的优先级并针对不同的机构采取不同的方法，这有利于长远发展，降低成本并提高效率；

4. 企业内的TPCRM预算控制较为分散，会因为利益竞争而造成资源低效分布；

CyberGRX认为，目前的TPCRM实践不仅耗费资源，而且实现的效果有限。超过53%的受访者在近两年内都遭遇过第三方数据泄露，承受的平均损失高达750万美元。但是，目前市场上还没有出现管理第三方网络风险的有效方法。企业组织在应对第三方风险时，大多是仍采取电子表（40%）、风险扫描工具（51%）等传统方式评估与其合作的第三方风险。80%的受访者认为调查并评估第三方实践情况很重要；但60%的受访者认为现行的调查和评估方法没有用。就算评估发现了第三方的安全风险，企业组织也不会积极地采取措施去缓解风险。只有24%的受访者认为其企业组织能与第三方机构合作并提升安全策略。

其中， 第三方评估所花费的时间各不相同；相关企业组织的行动力不足、所体现的价值也不够。总体来看，企业组织及第三方机构将人力与财务资源浪费在无法减少网络风险的项目中，并不利于整个生态的良好发展。

EMA的高级分析师 David Monahan认为：

目前，第三方网络风险管理实践情况并不乐观。管理方式大多为手动实施，缺少规模化、体系化。而且，大量项目都需要有质量的信息支撑，但这些信息又很难有效获取。因此，第三方风险管理耗费了大量人力资源，而且还吃力不讨好。现阶段迫切需要更体系化、规模化的评估方法，来解放劳动力、减少成本。

第三方风险管理要考虑的关键事项

1. 风险往往从小开始

如果第三方规模较小，安全性较低，那往往会成为攻击者的目标。他们会以这些第三方为切入点，获取高价值企业的访问权限并实现更大规模的攻击。使用恶意软件窃取分包商的凭证，并利用凭证访问目标企业的供应商专用Web服务，然后进一步渗透。这是常见的通过第三方入侵企业的例子。

2. 风险可能来自供应商之外的环节

第三方风险的范围不局限于第三方本身，还涉及第三方的关系网。有时候，企业的第三方本身也有其他第三方供应商（也就是“第四方”或“第三方二号”）。因此，企业组织还必须清楚地了解自己的第一供应商如何管理“第四方”。如果第三方来自海外，还需要考虑到不同的法律和道德约束。此外，随着大量企业上云，由第三方管理的不安全云存储数据库也是数据泄露的常见原因。

3. 在客户眼中，企业本身是主要责任方

对于客户而言，企业的第三方关系复杂，很难理清具体的网络风险范围。即使安全风险是因为第三方造成的，客户也会认为是企业自身的责任。这也是相关法律中考虑的因素。企业很难证明自己已经通过充分的尽职调查等方式来管理其第三方风险，而且即使第三方处理了数据，在必要情况下企业也可能会被追究责任。一般判断是：如果一家公司在内部采取一切预防措施，但未能使用网络风险评估调查问卷等工具审查第三方的安全性，那么它可能根本没有采取任何预防措施。

4. 数据生命周期的任何阶段都可能存在风险

企业以前的第三方关系也可能会给组织带来风险。例如，美国公司TigerSwan与其招聘供应商“TalentPen”在2017年2月就终止了合作，但2017年9月，因为TalentPen在AWS S3存储平台设置不当，依然泄露了“TigerSwan”相关的数千份简历。因此，企业与第三方开展业务时，不仅要了解数据的敏感程度和重要程度，还要了解第三方存储数据的方式。同时，还要考虑到在合作结束时如何处理第三方所掌握的那些数据。

5. 传统的网络安全防护远远不够

传统的信息安全防护有时会将第三方风险管理视为附加的或者孤立的安全活动。很多情况下，企业只是通过应急响应的方式管理内部或者第三方风险。但这种方式只可能在短期内有效，却不能实时监控并控制风险。

此外，企业在评估第三方风险时，往往还面临以下挑战：

数据准确性与质量      

数据的可执行性    

缺少持续性监控       

风险评估速度慢

现场评估的成本低

组织内责任划分不清楚

……

做好第三方风险管理的要点

建立信任机制

一个企业要想建立信任机制，需要考虑多种因素；甚至可能要与不同第三方之间建立不同的信任机制。建立信任也不仅仅是签订一份网络安全协议那么简单，需要多阶段多途径去确保合作方能真正落实双方约定的内容。企业合作的第三方往往不止一个。在处理时，应当根据风险情况来评定等级和优先级，然后综合考虑风险程度、第三方安全程度、重要程度、地点等因素，进行处理。其中，有一些重点内容需要关注：

1. 确认第三方可以访问的数据/系统；确认企业与第三方共享的信息、资产情况；

2. 评估企业能够承担的（由第三方引发的）网络安全风险

3. 确认、审查合作方的网络安全策略、技术，以及相关的实践和案例；

4. 设置持续性的合作方网络安全监控基线

同时，要将安全融入第三方的业务体系中，创建合适的监管机制、规定审查方法、合适的风险阈值以及处理未解决风险的办法。例如，确认哪些风险是可以承受的，哪些是无法接受的；如果第三方不修复安全问题，将如何应对？

生命周期内持续监管、持续验证

近年来，企业与第三方的合作有所改进，签订的合同中大多添加了安全相关的条款，并商定了持续时间、安全附录等。确认了第三方供应商有合适的网络安全政策和实践，并建立了合作关系之后，企业要监督第三方落实这些条款。可以采取一年365天、每天24小时的实时监测与预警技术持续监督第三方，或者进行定期检查验证落地效果。最后，需要有安全专家对监控结果进行分析，及时发现异常之处。结束合作时，也要妥善处理第三方的权限及其掌握的数据。

当然，合规也是必须要考虑的一点，以避免法律风险。而针对内部员工和供应商开展定期、全面的安全意识培训，也是一种预防手段。第三方风险管理是个持续性的过程，并非一朝一夕之功，需要企业纳入整体安全策略并持续改进。

*参考来源：upguard，ITC，转载请注明来自FreeBuf.COM