Риск третьих лиц - это процесс управления рисками, создаваемыми поставщиками и третьими сторонами, часто конкретно в отношении конфиденциальных данных и информации о клиентах.
Большинство организаций взаимодействуют с сотнями, если не тысячами, сторонних поставщиков и поставщиков. Многие из этих отношений необходимы и явно выгодны для бизнеса: они помогают увеличить доход, повысить лояльность клиентов и получить доступ к опыту и ресурсам за пределами вашего непосредственного бизнеса. Однако эти отношения основываются на доверии к этому поставщику.
ПРОГРАММЫ-ВЫМОГАТЕЛИ И ЦЕПОЧКА ПОСТАВОК
Вам не нужно слишком много думать, чтобы избежать ряда серьезных компромиссов в цепочке поставок. В прошлом году мы справились с последствиями взлома SolarWinds, Kaseya и Accellion. Мой коллега Шон Никкель написал отличный блог о том, что мы можем узнать из этих огромных атак на цепочки поставок.
Программы-вымогатели оказали большее влияние на риски цепочки поставок, чем эти заголовки новостей. После того, как один из сторонних поставщиков стал жертвой атаки вымогателя, Почта Канады сообщила 44 своим крупным коммерческим клиентам, что данные их клиентов остались открытыми в Интернете. Это не единичный случай: мы обнаружили тысячи жертв программ-вымогателей, данные которых были опубликованы на сайтах утечек в темной сети, и большая часть этих просочившихся данных включает данные, принадлежащие другим жертвам.
ПРОВЕДЕНИЕ ОЦЕНКИ РИСКОВ
Совместное использование конфиденциальных данных компании за пределами сети сопряжено с рисками, которые распространяются на третьи (и четвертые) стороны. Это не означает, что вы не можете этого сделать, но решение сделать это должно быть основано на обоснованной оценке дополнительного риска, который это несет для бизнеса.
Ранее мы писали о главных приоритетах этих оценок рисков третьей стороной и четырех областях, на которых практикующим специалистам следует сосредоточиться:
ПОСТОЯННЫЙ МОНИТОРИНГ
Одно четкое и очевидное ограничение этих оценок рисков третьей стороной заключается в том, что по своей природе они проводятся на определенный момент времени. Некоторые организации обращаются к службам оценки рисков, которые ранжируют поставщиков с помощью служб оценки безопасности. Хотя эти услуги предлагают невероятно полезное представление о потенциальных рисках поставщика, они не раскрывают всей картины.
Например, что происходит, когда подрядчик предоставляет учетные данные на GitHub? M Как мне узнать, идет ли поставщик домой и создает резервную копию конфиденциальных данных в неправильно настроенном онлайн-хранилище файлов? Что делать, если мои электронные письма подвергаются атаке программы-вымогателя против кого-то, с кем я работал? Это уникальные проблемы, с которыми сегодня сталкиваются службы безопасности.
Чтобы получить представление о том, где находятся данные, мы написали руководство - Руководство по решениям для обнаружения утечки данных, в котором изложены некоторые из лучших практик и бесплатные инструменты для обеспечения такого рода видимости.
КАК SEARCHLIGHT ПОМОГАЕТ
SearchLight - это не еще один сервис для оценки рисков от поставщиков - многие из них делают огромную работу. Вместо этого SearchLight фокусируется на обнаружении, где ваши данные доступны, независимо от того, кто их раскрыл или где они находятся в сети.
SearchLight непрерывно отслеживает открытую, глубокую и темную сеть, включая закрытые и технические источники, на предмет утечек данных третьих лиц, имеющих отношение к вашей организации, включая миллиарды файлов, открытых через неправильно настроенные корзины S3, FTP, RSync и SMB.
Когда это сочетается с отслеживанием программ-вымогателей и анализом угроз в отношении основных нарушений в цепочке поставок, пользователи получают лучшую видимость рисков, исходящих от поставщиков.
Большинство организаций взаимодействуют с сотнями, если не тысячами, сторонних поставщиков и поставщиков. Многие из этих отношений необходимы и явно выгодны для бизнеса: они помогают увеличить доход, повысить лояльность клиентов и получить доступ к опыту и ресурсам за пределами вашего непосредственного бизнеса. Однако эти отношения основываются на доверии к этому поставщику.
ПРОГРАММЫ-ВЫМОГАТЕЛИ И ЦЕПОЧКА ПОСТАВОК
Вам не нужно слишком много думать, чтобы избежать ряда серьезных компромиссов в цепочке поставок. В прошлом году мы справились с последствиями взлома SolarWinds, Kaseya и Accellion. Мой коллега Шон Никкель написал отличный блог о том, что мы можем узнать из этих огромных атак на цепочки поставок.
Программы-вымогатели оказали большее влияние на риски цепочки поставок, чем эти заголовки новостей. После того, как один из сторонних поставщиков стал жертвой атаки вымогателя, Почта Канады сообщила 44 своим крупным коммерческим клиентам, что данные их клиентов остались открытыми в Интернете. Это не единичный случай: мы обнаружили тысячи жертв программ-вымогателей, данные которых были опубликованы на сайтах утечек в темной сети, и большая часть этих просочившихся данных включает данные, принадлежащие другим жертвам.
ПРОВЕДЕНИЕ ОЦЕНКИ РИСКОВ
Совместное использование конфиденциальных данных компании за пределами сети сопряжено с рисками, которые распространяются на третьи (и четвертые) стороны. Это не означает, что вы не можете этого сделать, но решение сделать это должно быть основано на обоснованной оценке дополнительного риска, который это несет для бизнеса.
Ранее мы писали о главных приоритетах этих оценок рисков третьей стороной и четырех областях, на которых практикующим специалистам следует сосредоточиться:
- Практика безопасности
- Политика конфиденциальности
- Политики хранения данных
- Репутация
ПОСТОЯННЫЙ МОНИТОРИНГ
Одно четкое и очевидное ограничение этих оценок рисков третьей стороной заключается в том, что по своей природе они проводятся на определенный момент времени. Некоторые организации обращаются к службам оценки рисков, которые ранжируют поставщиков с помощью служб оценки безопасности. Хотя эти услуги предлагают невероятно полезное представление о потенциальных рисках поставщика, они не раскрывают всей картины.
Например, что происходит, когда подрядчик предоставляет учетные данные на GitHub? M Как мне узнать, идет ли поставщик домой и создает резервную копию конфиденциальных данных в неправильно настроенном онлайн-хранилище файлов? Что делать, если мои электронные письма подвергаются атаке программы-вымогателя против кого-то, с кем я работал? Это уникальные проблемы, с которыми сегодня сталкиваются службы безопасности.
Чтобы получить представление о том, где находятся данные, мы написали руководство - Руководство по решениям для обнаружения утечки данных, в котором изложены некоторые из лучших практик и бесплатные инструменты для обеспечения такого рода видимости.
КАК SEARCHLIGHT ПОМОГАЕТ
SearchLight - это не еще один сервис для оценки рисков от поставщиков - многие из них делают огромную работу. Вместо этого SearchLight фокусируется на обнаружении, где ваши данные доступны, независимо от того, кто их раскрыл или где они находятся в сети.
SearchLight непрерывно отслеживает открытую, глубокую и темную сеть, включая закрытые и технические источники, на предмет утечек данных третьих лиц, имеющих отношение к вашей организации, включая миллиарды файлов, открытых через неправильно настроенные корзины S3, FTP, RSync и SMB.
Когда это сочетается с отслеживанием программ-вымогателей и анализом угроз в отношении основных нарушений в цепочке поставок, пользователи получают лучшую видимость рисков, исходящих от поставщиков.
