第三方服务提供商的五大风险
亚马逊如何应对网络安全挑战
关键网络安全统计数据和趋势
移动优先世界中安全和隐私策略
当今数字时代网络安全的重要性
用户无法停止犯安全错误的 3 个原因
首席安全官可能过于依赖 EDR/XDR 防御
随着业务流程变得越来越复杂,公司开始转向第三方来提高其提供关键服务(从云存储到数据管理再到安全)的能力。
这样做通常效率更高、成本更低,但使用第三方服务也会带来重大(通常是无法预见的)风险。
第三方可能成为入侵的门户,如果服务出现故障,会损害公司的声誉,使公司面临财务和监管问题,并引起世界各地不良行为者的关注。
与供应商分手管理不善也可能带来危险,导致无法访问第三方安装的系统、失去数据保管权或数据本身丢失。
什么是第三方风险管理?
第三方风险管理 (TPRM) 是一种风险管理学科,涉及识别、评估和减轻与使用外部方(例如合作伙伴、供应商、供应商、承包商和服务提供商)相关的风险。
此类第三方通常可以访问您组织的一系列系统和数据,并且他们通常是您组织关键业务运营的关键参与者。
因此,第三方可能会增加您的网络风险状况,因为他们可能引发的任何安全问题都可能对您的组织产生后续影响。
TPRM 也常被称为供应商风险管理,它为组织提供了一个框架,用于识别有权访问组织系统、数据和设施的所有第三方。
它还确保您的组织已根据第三方可以访问的内容、其安全实践以及可能面临的威胁评估了与其使用的每个第三方相关的风险。
为了降低第三方风险,组织必须与其依赖的第三方合作,对其安全实践进行安全评估和审计。
他们还必须建立明确的合同协议,阐明所有相关方的安全期望和责任。
成功的 TPRM 还需要持续的监控和监督,以确保第三方遵守商定的措施,并在出现任何问题时制定事件响应和补救策略。
为什么第三方风险管理很重要?
对第三方服务的依赖正在增加。因此,组织发现自己越来越容易受到其合作伙伴带来的潜在安全问题的影响。
组织越来越依赖第三方,例如技术和云供应商,它们存储敏感数据或访问关键系统。
如果第三方的网络安全控制不力,这种风险会更高。
第三方自己的供应商也有可能受到损害。如果数据或系统受到损害,则影响可能包括品牌和声誉受损、法律和监管罚款或处罚以及补救成本。
使用第三方是许多企业普遍接受的必要条件,但需要持续管理。
第三方合作伙伴关系将控制权转移到公司之外,因此具有固有的商业风险。
考虑到 98% 的全球组织都与至少一家第三方供应商有联系,而这些供应商在过去两年内遭到入侵,因此这一点尤为紧迫。
最大的第三方网络安全风险
以下是第三方服务给您带来的五大网络安全风险:
网络攻击导致客户和公司数据泄露
根据世界经济论坛的《2022 年全球网络安全展望》,间接网络攻击(通过第三方成功入侵公司)在过去几年中从 44% 上升至 61%。
造成这种情况的原因之一是许多公司没有适当的控制措施来有效地摆脱第三方供应商。
他们没有制定流程来控制这些账户的访问管理权限和配置,这为寻找仍然活跃的老账户的网络攻击者打开了方便之门。
威胁行为者可能会滥用从第三方泄露获得的数据来执行各种恶意活动,包括身份盗窃、欺诈、账户滥用和外部账户接管攻击。
威胁行为者经常使用从第三方甚至第四方泄露中获得的泄露凭证和数据来访问其他受害者的环境。
第三方可能会在托管公司数据时受到攻击,或者攻击者首先瞄准第三方,然后利用第三方进入您的 IT 系统。
尽职调查和整个供应商生命周期内对漏洞的持续监控将有助于降低这种风险。
实施纵深防御方法以限制第三方对组织网络的访问对于防止对手获得特权升级至关重要。
因此,公司在允许第三方供应商访问其系统之前必须对其进行全面审查,以确保他们实施了适当的安全协议。
当涉及到谁拥有我们的数据时,第三方始终是一个令人担忧的问题;这就是为什么我们会根据公司面临的网络风险不断评估新的和现有的第三方。
事故成本、业务损失造成的财务风险
入侵的成本可能非常高昂,如果公司没有以正确的方式保护其系统,网络安全保险并不总是能涵盖入侵行为。
财务损失是你的损失,但你的组织声誉也会受损。你会失去客户。
你会失去新客户的信任,你会失去现有客户的信任,因此,你会失去收入来源……而更换现有客户需要花费很多钱。因此,财务损失会迅速累积。
声誉受损,失去客户信任
虽然违规行为可能并非发生在公司内部,但涉及客户公司数据或其客户的第三方服务违规行为,该公司可能不得不发表声明或通知个人。
由于这种下游影响,声誉影响可能远远超过财务损失。
服务提供商违约带来的负面宣传可能会损害公司的声誉或声誉,而公众对企业的负面看法可能源于其供应商名单中的第三方的问题。
客户对第三方提供的服务的投诉是一个很好的迹象,表明存在潜在问题。
客户看不到你的组装、产品、服务以及与他们互动的能力是由第三方支持的。
他们只看到你的名字、你的品牌,以及你无法兑现[你对他们做出的]承诺。
许多组织采取主动措施,确保其第三方是有效的数据保管者。
然而,当第三方拥有自己的供应商供应链时,事情就会变得复杂得多。
随着你继续追踪你的供应商和你的供应商的供应商,你可能很难洞察所有这些实体以及第三方风险计划的成熟度,这些计划正在以你期望的严格程度保护敏感数据。
地缘政治风险
乌克兰战争凸显了组织机构密切关注政治发展并做好应对动荡局势的准备的必要性。
组织机构需要确保在受制裁管辖区内的所有供应商、合作伙伴和合资企业活动都已停止。
乌克兰战争以及俄罗斯和白俄罗斯的相关制裁并不是唯一需要考虑的地缘政治风险。
在容易发生政权动荡的国家开展业务的供应商,例如军事政变、暴力起义和系统性压迫少数民族,需要进行仔细和持续的监控。
政治动荡往往伴随着国家网络间谍活动的泛滥。组织需要确保第三方供应商彻底审查其承包商是否与已知从事此类活动的政府有联系。
第三方可能会在不知情的情况下雇佣国家派遣的自由职业 IT 远程工作者,为该国的独裁政权创造收入或进入公司网络。
尽管他们在工作期间可能不会参与任何恶意网络活动,但他们可能会利用特权访问从内部进行恶意网络入侵。这使得检测恶意活动变得困难。
监管合规风险
当第三方供应商违反政府法律、行业法规或公司内部流程时,它们也会使组织面临合规风险。
供应商不合规可能会使雇用他们的公司遭受巨额罚款。
例如,组织需要检查其第三方供应商是否符合 SOC2 审计标准。
SOC2 旨在确保第三方保护其客户的敏感数据免遭未经授权的访问。
组织还必须确保第三方遵守隐私和安全法律,例如欧盟的《 通用数据保护条例》(GDPR) 和 《加州隐私权法案》(CPRA)的要求。
合规性是一个巨大的风险,你可能合规并且实施了必要的控制措施,但突然间你把这些第三方也加进来了,如果你不评估[他们是否实施了控制措施],你可能会违反你的合规立场。
相关文章:
第三方服务提供商的五大风险
亚马逊如何应对网络安全挑战 关键网络安全统计数据和趋势 移动优先世界中安全和隐私策略 当今数字时代网络安全的重要性 用户无法停止犯安全错误的 3 个原因 首席安全官可能过于依赖 EDR/XDR 防御 随着业务流程变得越来越复杂,公司开始转向第三方来提高其提供关…...
海康视频播放,包含h5和web插件
自行下载 海康开放平台 demo 都写得很清楚,不多描述 1.视频web插件 vue2写法,公共vue文件写法,调用文件即可 开始时需要以下配置,不知道的找对接平台数据的人,必须要,否则播不了 getParameterData: {po…...
数据库-python SQLite3
数据库-python SQLite3 一:sqlite3 简介二: sqlite3 流程1> demo2> sqlite3 流程 三:sqlite3 step1> create table2> insert into3> update4> select1. fetchall()2. fetchone()3. fetchmany() 5> delete6> other step 四&#…...
FFMpeg rtmp 推送本地yuv文件
可以借鉴的:C使用FFmpeg实现YUV数据编码转视频文件_C 语言_脚本之家 yuv文件下载地址:YUV Sequences 代码: #include <stdio.h> #include <unistd.h> #include <iostream> extern "C" { #include "libav…...
websocket使用,spring boot + vite + vue3
websocket使用,spring boot vite vue3 Websocket是什么WebSocket 服务端构建websocket 服务实现处理器pom文件 客户端仓库地址 Websocket是什么 WebSocket 是一种网络传输协议,可在单个 TCP 连接上进行全双工通信,位于 OSI 模型的应用层。…...
基础位运算
基础知识点: 1.判断2的幂 n&(n-1)0 2.每次减一处理 n&(n-1) 3.判断出现1次次数的数 x^0x,x^x0,a^bc则ab^c,ba^c 力扣练习题: 136.只出现一次的数字 class Solution { public:int si…...
性价比高真无线蓝牙耳机有哪些?性价比真无线蓝牙耳机推荐
目前真无线蓝牙耳机的音质和性能已经越来越接近甚至超越传统有线耳机。然而,市面上的TWS耳机品牌和型号繁多,价格也从几十元到几千元不等,性价比自然成了消费者选择时的重要考量因素,究竟哪些真无线蓝牙耳机既能够提供满意的音质和…...
Big Data Tools插件
一些介绍 在Jetbrains的产品中,均可以安装插件,其中:Big Data Tools插件可以帮助我们方便的操作HDFS,比如 IntelliJ IDEA(Java IDE) PyCharm(Python IDE) DataGrip(SQL …...
两个li标签之间有空格这是什么原因
<li> 标签之间出现的空格可能由多种原因造成。以下是一些常见的原因: HTML源代码中的空格:如果你在HTML源代码中直接在两个 <li> 标签之间输入了空格或制表符(Tab),这些空格可能会被浏览器渲染出来。不过&…...
使用Colly库进行高效的网络爬虫开发
引言 随着互联网技术的飞速发展,网络数据已成为信息获取的重要来源。网络爬虫作为自动获取网页内容的工具,在数据分析、市场研究、信息聚合等领域发挥着重要作用。本文将介绍如何使用Go语言中的Colly库来开发高效的网络爬虫。 什么是Colly库࿱…...
【C#】制作图集
如题目,用好几个图片拼在一个大图里,博主是用于Unity游戏开发使用的,话不多说,上代码! using System; using System.Collections.Generic; using System.Drawing; using System.Drawing.Imaging;namespace EffectsPac…...
系统中的报表有什么区别?)
行列视报表系统制作的报表与厂级监控信息系统(SIS)系统中的报表有什么区别?
厂级监控信息系统是集过程实时监测、优化控制及生产过程管理为一体的厂级自动化信息系统,是处于DCS以及相关辅助程控系统与全厂管理信息系统之间的一套实时厂级监控信息系统,该产品也是本公司的一套独立产品。 SIS系统中的报表只是其中的一个模块&#…...
算法08 广/宽度优先搜索及相关问题详解
这是《C算法宝典》算法篇的第08节文章啦~ 如果你之前没有太多C基础,请点击👉专栏:C语法入门,如果你C语法基础已经炉火纯青,则可以进阶算法👉专栏:算法知识和数据结构👉专栏ÿ…...
PyTorch 版本与 CUDA 版本的兼容性示例
PyTorch 1.9.0 及以上版本支持 CUDA 11.1。PyTorch 1.8.0 支持 CUDA 11.0。PyTorch 1.7.0 支持 CUDA 10.2。PyTorch 1.6.0 支持 CUDA 10.1。PyTorch 1.5.0 支持 CUDA 10.1。PyTorch 1.4.0 支持 CUDA 10.1。PyTorch 1.3.0 支持 CUDA 10.0。PyTorch 1.2.0 支持 CUDA 9.2。PyTorch…...
Selenium进行Web自动化滚动
在使用Selenium进行Web自动化时,计算页面内的滚动条位置或执行滚动操作通常涉及JavaScript执行。Selenium的WebDriver提供了执行JavaScript代码的功能,这可以用来获取滚动条的位置或滚动到页面上的特定位置。 获取滚动条位置 你可以使用JavaScript的wi…...
机器学习模型训练过程和预测过程 用孩子来生动的比喻 --九五小庞
训练过程:孩子在学习知识 想象一下,一个年幼的孩子刚开始学习新知识,这就像是机器学习的模型训练过程。 收集教材:孩子首先得到了一本教科书或一系列学习材料,这些材料就像机器学习中的数据集,包含了各种…...
【爱上C++】详解string类2:模拟实现、深浅拷贝
在上一篇文章中我们介绍了string类的基本使用,本篇文章我们将讲解string类一些常用的模拟实现,其中有很多细小的知识点值得我们深入学习。Let’s go! 文章目录 类声明默认成员函数构造函数析构函数拷贝构造函数深浅拷贝问题传统写法现代写法…...
狄克斯特拉算法
狄克斯特拉算法(Dijkstra’s algorithm)是一种用于在带权图中找到从单一源点到所有其他顶点的最短路径的算法。它适用于处理带有非负权值的图。 下面将详细解释算法的工作原理、时间复杂度以及如何通过优化数据结构来改进其性能。 狄克斯特拉算法的工作…...
2024推荐整理几个磁力导航网站可提供海量资源的
都2024现在网上找资源像流水得鱼一样,抓一大把结果很难吃,我通宵特意整理的网站,网上有许多磁力导航网站可以提供海量的磁力链接资源,以下是一些有效的磁力导航网站推荐: 磁力搜索 链接: 资源类型&#x…...
链式访问:C语言中的函数调用技巧
链式访问:C语言中的函数调用技巧 在C语言编程中,链式访问(chained calls)是一个常见的编程技巧,它允许你在一行代码中连续调用多个函数或方法。这种技巧不仅能够让代码更加简洁和易读,还能减少临时变量的使…...
【Python】 -- 趣味代码 - 小恐龙游戏
文章目录 文章目录 00 小恐龙游戏程序设计框架代码结构和功能游戏流程总结01 小恐龙游戏程序设计02 百度网盘地址00 小恐龙游戏程序设计框架 这段代码是一个基于 Pygame 的简易跑酷游戏的完整实现,玩家控制一个角色(龙)躲避障碍物(仙人掌和乌鸦)。以下是代码的详细介绍:…...
python打卡day49
知识点回顾: 通道注意力模块复习空间注意力模块CBAM的定义 作业:尝试对今天的模型检查参数数目,并用tensorboard查看训练过程 import torch import torch.nn as nn# 定义通道注意力 class ChannelAttention(nn.Module):def __init__(self,…...
鸿蒙中用HarmonyOS SDK应用服务 HarmonyOS5开发一个医院挂号小程序
一、开发准备 环境搭建: 安装DevEco Studio 3.0或更高版本配置HarmonyOS SDK申请开发者账号 项目创建: File > New > Create Project > Application (选择"Empty Ability") 二、核心功能实现 1. 医院科室展示 /…...
Python实现prophet 理论及参数优化
文章目录 Prophet理论及模型参数介绍Python代码完整实现prophet 添加外部数据进行模型优化 之前初步学习prophet的时候,写过一篇简单实现,后期随着对该模型的深入研究,本次记录涉及到prophet 的公式以及参数调优,从公式可以更直观…...
学习STC51单片机31(芯片为STC89C52RCRC)OLED显示屏1
每日一言 生活的美好,总是藏在那些你咬牙坚持的日子里。 硬件:OLED 以后要用到OLED的时候找到这个文件 OLED的设备地址 SSD1306"SSD" 是品牌缩写,"1306" 是产品编号。 驱动 OLED 屏幕的 IIC 总线数据传输格式 示意图 …...
网站指纹识别
网站指纹识别 网站的最基本组成:服务器(操作系统)、中间件(web容器)、脚本语言、数据厍 为什么要了解这些?举个例子:发现了一个文件读取漏洞,我们需要读/etc/passwd,如…...
免费数学几何作图web平台
光锐软件免费数学工具,maths,数学制图,数学作图,几何作图,几何,AR开发,AR教育,增强现实,软件公司,XR,MR,VR,虚拟仿真,虚拟现实,混合现实,教育科技产品,职业模拟培训,高保真VR场景,结构互动课件,元宇宙http://xaglare.c…...
解决:Android studio 编译后报错\app\src\main\cpp\CMakeLists.txt‘ to exist
现象: android studio报错: [CXX1409] D:\GitLab\xxxxx\app.cxx\Debug\3f3w4y1i\arm64-v8a\android_gradle_build.json : expected buildFiles file ‘D:\GitLab\xxxxx\app\src\main\cpp\CMakeLists.txt’ to exist 解决: 不要动CMakeLists.…...
【C++】纯虚函数类外可以写实现吗?
1. 答案 先说答案,可以。 2.代码测试 .h头文件 #include <iostream> #include <string>// 抽象基类 class AbstractBase { public:AbstractBase() default;virtual ~AbstractBase() default; // 默认析构函数public:virtual int PureVirtualFunct…...
c# 局部函数 定义、功能与示例
C# 局部函数:定义、功能与示例 1. 定义与功能 局部函数(Local Function)是嵌套在另一个方法内部的私有方法,仅在包含它的方法内可见。 • 作用:封装仅用于当前方法的逻辑,避免污染类作用域,提升…...