亚洲精品不卡久久久久久_色视频线观看在线 _妽妽夹得我好舒服_国产真人一级a爱做片高潮_亚洲aⅴ无码专区在线观看q

當前位置: 首頁 >綜合 > 正文

為什么評估第三方的安全風險仍然是一個懸而未決的問題

2023-06-26 16:02:17 來源:企業(yè)網(wǎng)D1Net

《福布斯》雜志日前發(fā)布了一篇關于美國最安全的網(wǎng)絡公司的報告,表明網(wǎng)絡安全對于企業(yè)來說日益重要。


(資料圖片)

第一部分:在網(wǎng)絡安全方面最安全的公司有哪些?

報告列出了在網(wǎng)絡安全方面最安全的全球公司,以下是入選名單:

頂級公司:谷歌、蘋果、微軟、亞馬遜

第二梯隊:美國銀行、高盛、富達、CapitalOne、Meta、LinkedIn、美國聯(lián)合航空公司、Akamai、Cloudflare、Fastly

這份清單并不全面。這也讓安全行業(yè)專家考慮還有哪些公司,其評估的標準是,“擁有大量的數(shù)據(jù),或大規(guī)模的系統(tǒng)控制,并能保護這些數(shù)據(jù)安全?!?/p>第二部分:第三方風險管理的問題

《福布斯》雜志將美國聯(lián)合航空公司和富達公司列入前20名。安全行業(yè)專家推薦的其他金融服務公司大多在前100名,但沒有一家基礎設施公司上榜。有趣的是,這份報告認同這一觀點,即美國聯(lián)合航空公司在業(yè)內(nèi)遙遙領先。美聯(lián)航的首席信息安全官Deneen DeFiore在網(wǎng)絡安全方面的工作一定很出色。

這份榜單由第三方風險管理(TPRM)行業(yè)的旗艦公司之一SecurityScorecard公司提供。第三方風險管理公司面臨的挑戰(zhàn)是:為與其他企業(yè)有業(yè)務往來的企業(yè)提供一種機制,從網(wǎng)絡安全的角度來評估供應商給他們帶來的風險。SecurityScorecard公司和它的主要競爭對手BitSight公司使用了類似的方法:創(chuàng)建風險評分(有點像信用評分),評估企業(yè),然后給它們打分。

這聽起來很簡單,對吧? 但并不是這么簡單。想象一下,如果信用報告機構決定開始使用信用評分算法來評估大型企業(yè)的網(wǎng)絡安全性。他們當然會看起來很糟糕!想想谷歌公司的邊界(所有公開可見的IP地址)與英特爾公司(在福布斯榜單上排名第一)的規(guī)模。英特爾公司是全球主要的芯片制造商,安全專家希望這些公司的外部足跡很小,但并不知道他們的網(wǎng)絡安全實踐,希望他們不要把重點放在網(wǎng)站安全(這對他們的評級有影響)上,而是放在他們的產(chǎn)品和制造安全(這對他們的評級沒有影響)上。另一方面,谷歌公司作為互聯(lián)網(wǎng)主要公司之一,他們的可尋址IP空間是世界上最大的IP空間之一,所以從外部看,他們的網(wǎng)絡安全態(tài)勢當然看起來很糟糕,特別是如果衡量標準之一是攻擊面的大小。

無論好壞,信用報告機構比TPRM評分機構擁有更多的數(shù)據(jù)。它們根植于金融系統(tǒng),收集了很多不應該公開的信息。另一方面,TPRM評分機構做的是類似于駕車評估的工作。他們在互聯(lián)網(wǎng)上看企業(yè)的外部安全,并根據(jù)企業(yè)形象來決定他們的信譽。當然,某些業(yè)務類型看起來比其他業(yè)務更安全。

遺憾的是,TPRM評分的替代方案是TPRM問卷調(diào)查行業(yè),它的幫助微乎其微。這是一個專注于向供應商發(fā)送大量調(diào)查問卷的行業(yè),收集這些問卷需要付出巨大的努力。然后,專門的團隊會審查答案,尋找任何看起來是否定的答案來跟進(所有成熟的供應商現(xiàn)在都知道永遠不要對任何問題說“不”)?,F(xiàn)在該行業(yè)都專注于簡化這些問卷的填寫。

TPRM評分問題尚未得到解決。企業(yè)確實需要了解他們從供應商那里繼承的實際風險,包括內(nèi)在風險(供應商給企業(yè)帶來的風險)和使用風險(使用供應商的方式造成的風險)。不幸的是,無論是評分還是問卷調(diào)查都無法解決這個問題。

標簽:

返回頂部