Ngày 22 tháng 2 năm 2023Tin tức về hackerQuản lý rủi ro mạng
Nếu bạn Google “vi phạm dữ liệu của bên thứ ba”, bạn sẽ tìm thấy nhiều báo cáo gần đây về vi phạm dữ liệu do một bên thứ ba tấn công hoặc thông tin nhạy cảm được lưu trữ tại một địa điểm của bên thứ ba đã bị lộ. Vi phạm dữ liệu của bên thứ ba không phân biệt theo ngành vì hầu hết mọi công ty đều đang hoạt động với một số loại mối quan hệ với nhà cung cấp – cho dù đó là đối tác kinh doanh, nhà thầu hoặc người bán lại hay việc sử dụng phần mềm hoặc nền tảng CNTT hay nhà cung cấp dịch vụ khác. Theo báo cáo của Osano, các tổ chức hiện đang chia sẻ dữ liệu với trung bình 730 nhà cung cấp bên thứ ba và với sự tăng tốc của quá trình chuyển đổi kỹ thuật số, con số đó sẽ chỉ tăng lên.
Tầm quan trọng của quản lý rủi ro bên thứ ba
Theo báo cáo của CyberRisk Alliance, với nhiều tổ chức chia sẻ dữ liệu với nhiều nhà cung cấp bên thứ ba hơn, không có gì ngạc nhiên khi hơn 50% sự cố bảo mật trong hai năm qua bắt nguồn từ bên thứ ba có đặc quyền truy cập.
Thật không may, trong khi hầu hết các nhóm bảo mật đều đồng ý rằng khả năng hiển thị chuỗi cung ứng là ưu tiên hàng đầu, thì báo cáo tương tự cũng lưu ý rằng chỉ 41% tổ chức có khả năng hiển thị đối với các nhà cung cấp quan trọng nhất của họ và chỉ 23% có khả năng hiển thị đối với toàn bộ hệ sinh thái bên thứ ba của họ.
Lý do thiếu đầu tư vào Quản lý rủi ro bên thứ ba (TPRM) cũng giống như những lý do mà chúng tôi thường nghe – thiếu thời gian, thiếu tiền và nguồn lực, và đó là nhu cầu kinh doanh để làm việc với nhà cung cấp. Vì vậy, làm thế nào chúng ta có thể vượt qua các rào cản để quản lý rủi ro mạng của bên thứ ba dễ dàng hơn? Tự động hóa.
Lợi ích của tự động hóa
Tự động hóa trao quyền cho các tổ chức làm được nhiều hơn với chi phí ít hơn. Từ góc độ bảo mật, đây chỉ là một số lợi ích mà tự động hóa mang lại, như được Graphus nhấn mạnh:
76% giám đốc điều hành CNTT trong một cuộc khảo sát về an ninh mạng cho biết tự động hóa tối đa hóa hiệu quả của nhân viên an ninh. Tự động hóa bảo mật có thể tiết kiệm hơn 80% so với chi phí bảo mật thủ công. 42% công ty cho rằng tự động hóa bảo mật là yếu tố chính giúp họ thành công trong việc cải thiện tình hình an ninh mạng.
Liên quan đến TPRM, tự động hóa có thể chuyển đổi chương trình của bạn bằng cách:
Bước 1 – Đánh giá nhà cung cấp của bạn bằng Quản lý tiếp xúc với mối đe dọa liên tục (CTEM)
Các đánh giá tiếp xúc với mối đe dọa liên tục bao gồm các đánh giá toàn diện kết hợp những điều sau:
Phát hiện nội dung tự động Đánh giá cơ sở hạ tầng/mạng bên ngoài Đánh giá bảo mật ứng dụng web Phân tích thông tin tình báo về mối đe dọa Phát hiện web tối Xếp hạng bảo mật chính xác hơn
Đây là một phân tích toàn diện hơn về bên thứ ba so với việc chỉ gửi bảng câu hỏi. Quá trình đặt câu hỏi thủ công có thể mất từ 8-40 giờ cho mỗi nhà cung cấp, miễn là nhà cung cấp trả lời nhanh chóng và chính xác. Nhưng cách tiếp cận này không cho phép khả năng nhìn thấy các lỗ hổng hoặc xác thực tính hiệu quả của các biện pháp kiểm soát bắt buộc trong bảng câu hỏi.
Việc kết hợp khả năng đánh giá mức độ phơi nhiễm với mối đe dọa tự động và tích hợp khả năng này với bảng câu hỏi có thể giảm thời gian xem xét các nhà cung cấp và chúng tôi nhận thấy rằng sự kết hợp này có thể giảm 33% thời gian đánh giá và giới thiệu các nhà cung cấp mới.
Bước 2 – Sử dụng Trao đổi bảng câu hỏi
Các tổ chức quản lý nhiều câu hỏi hoặc nhà cung cấp trả lời nhiều câu hỏi nên cân nhắc sử dụng trao đổi câu hỏi. Nói một cách đơn giản, đó là kho lưu trữ được lưu trữ gồm các câu hỏi tiêu chuẩn hoặc tùy chỉnh đã hoàn thành có thể được chia sẻ với các bên quan tâm khác sau khi được phê duyệt.
Nếu bạn chọn một nền tảng thực hiện quá trình tự động hóa được mô tả ở trên, thì cả hai bên sẽ nhận được cách tiếp cận tự động và đã được xác minh đối với các câu hỏi gần đây nhất được tự động xác thực bằng các đánh giá liên tục. Một lần nữa, điều này có thể tiết kiệm thời gian cho nhóm của bạn bằng cách yêu cầu quyền truy cập vào các câu hỏi hiện có hoặc tăng thời gian của họ để trả lời một câu hỏi mới có thể được sử dụng lại theo yêu cầu.
Bước 3 – Liên tục kết hợp các phát hiện về mối đe dọa với việc trao đổi câu hỏi
Xếp hạng bảo mật một mình không hoạt động. Chỉ sử dụng bảng câu hỏi để đánh giá bên thứ ba là không hiệu quả. Quản lý mức độ tiếp xúc với mối đe dọa, kết hợp xếp hạng bảo mật chính xác từ các đánh giá trực tiếp, kết hợp với bảng câu hỏi đã được xác thực – trong đó bảng câu hỏi đang truy vấn đánh giá và cập nhật xếp hạng bảo mật – cung cấp cho bạn giải pháp mạnh mẽ để Quản lý rủi ro bên thứ ba liên tục. Các nền tảng sử dụng đánh giá chủ động và thụ động, đồng thời không chỉ dựa vào dữ liệu OSINT lịch sử, cung cấp khả năng hiển thị bề mặt tấn công chính xác nhất – vì đó là của bên thứ ba vào thời điểm đó.
Thông tin này có thể được tận dụng để tự động xác thực các biện pháp kiểm soát hiện hành trong bảng câu hỏi đối với các yêu cầu khung bảo mật và tuân thủ, đồng thời gắn cờ bất kỳ sự khác biệt nào giữa câu trả lời của khách hàng và kết quả đánh giá công nghệ. Điều này mang lại cho các tổ chức cách tiếp cận “tin cậy nhưng xác minh” thực sự đối với đánh giá của bên thứ ba. Vì điều này có thể được thực hiện nhanh chóng nên bạn có thể được thông báo khi các bên thứ ba không tuân thủ các biện pháp kiểm soát kỹ thuật cụ thể.
Các tổ chức đang tìm cách tối đa hóa hiệu quả của chương trình quản lý rủi ro mạng bên thứ ba nên tìm cách bổ sung tính năng tự động hóa vào các quy trình của mình. Trong môi trường kinh tế vĩ mô khó khăn hơn, các công ty có thể chuyển sang tự động hóa để giảm bớt công việc mà nhóm của họ thực hiện, trong khi vẫn đạt được tiến độ và kết quả, đổi lại các thành viên trong nhóm có thể tập trung vào các sáng kiến khác.
Lưu ý: Victor Gamra, CISSP, một cựu CISO, là tác giả và cung cấp bài viết này. Ông cũng là Người sáng lập và Giám đốc điều hành của FortifyData, một công ty Quản lý Mối đe dọa Tiếp xúc Liên tục (CTEM) hàng đầu trong ngành. FortifyData trao quyền cho các doanh nghiệp quản lý rủi ro mạng ở cấp tổ chức bằng cách kết hợp các đánh giá bề mặt tấn công tự động, phân loại tài sản, quản lý lỗ hổng dựa trên rủi ro, xếp hạng bảo mật và quản lý rủi ro của bên thứ ba vào một nền tảng quản lý rủi ro mạng tất cả trong một. Để tìm hiểu thêm, vui lòng truy cập www.fortifydata.com.
