如今，大量企業都需要第三方機構的支持才能保證業務正常運營。HR系統、財務系統、法務系統、企業IT設施與軟件等都需要依靠一些第三方平臺或軟件來處理工作。但是，這些合作在帶來便利的同時也帶來了風險與挑戰。有報告顯示，56%的企業數據泄露 都源自第三方供應商；42%的企業都因為第三方供應商遭遇攻擊而出現數據泄露。前不久，FaceBook還因為第三方數據泄露而再次成為眾矢之的。因此，為了保護企業數據安全，企業不僅要抵禦自身所面臨的內外部安全威脅，還要進行第三方風險管理（TPCRM）。

第三方風險

一般來說，第三方包括企業直接合作的公司，如數據管理公司、律師事務所、電子郵件提供商，網絡託管公司，子公司，供應商，分包商等等，只要可以訪問企業系統或數據的任何員工或企業都算第三方。但是，第三方網絡風險並不僅限於這些公司或員工，企業業務涉及的軟件、硬件也都會帶來網絡風險。釣魚、被入侵的軟件、雲存儲和IoT設備、水坑攻擊、收購並購導致的架構調整等都是常見的第三方風險。

但是，調查顯示，目前第三方風險管理大多成效不好，有一些挑戰和需要改進的地方。

第三方風險管理耗費大量人力和財力

Ponemon Institute與CyberGRX聯合發布的《第三方網絡風險管理成本》報告，揭露了第三方風險管理的現狀與成本。報告的調查對象包括600多名IT安全專家，這些專家來自多個不同領域，且直接參與所在企業組織的TPCRM項目管理。他們反饋的都是TPCRM相關的一線信息。

第三方安全風險調查與評估現狀

第三方機構多如潮湧，每年需要花費超過15000個小時去進行評估；

企業沒有洞察力，54%的機構認為評估結果價值有限；

評估之後，能投入實踐的不到8%；

一旦不成功，成本會很高（70%的機構認為第三方風險管理一旦失敗，成本會達到1300萬美元；這些成本包括對聲譽和品牌的影響、股價下跌、丟生意等）。

報告發現，現階段第三方風險管理存在的問題主要有：

1. 目前支撐TPCRM、評估第三方機構的實例和技術較為稀缺，且成本較高、效果不好；

2. 使用更好的調查和評估工具能提升TPCRM的效率並降低維護項目的成本；

3. 對所有第三方使用相同的方法也可能增加成本；最好是花一些事件確認第三方的優先級並針對不同的機構採取不同的方法，這有利於長遠發展，降低成本並提高效率；

4. 企業內的TPCRM預算控制較為分散，會因為利益競爭而造成資源低效分佈；

CyberGRX認為，目前的TPCRM實踐不僅耗費資源，而且實現的效果有限。超過53%的受訪者在近兩年內都遭遇過第三方數據泄露，承受的平均損失高達750萬美元。但是，目前市場上還沒有出現管理第三方網絡風險的有效方法。企業組織在應對第三方風險時，大多是仍採取電子表（40%）、風險掃描工具（51%）等傳統方式評估與其合作的第三方風險。80%的受訪者認為調查並評估第三方實踐情況很重要；但60%的受訪者認為現行的調查和評估方法沒有用。就算評估發現了第三方的安全風險，企業組織也不會積極地採取措施去緩解風險。只有24%的受訪者認為其企業組織能與第三方機構合作並提升安全策略。

其中， 第三方評估所花費的時間各不相同；相關企業組織的行動力不足、所體現的價值也不夠。總體來看，企業組織及第三方機構將人力與財務資源浪費在無法減少網絡風險的項目中，並不利於整個生態的良好發展。

EMA的高級分析師 David Monahan認為：

目前，第三方網絡風險管理實踐情況並不樂觀。管理方式大多為手動實施，缺少規模化、體系化。而且，大量項目都需要有質量的信息支撐，但這些信息又很難有效獲取。因此，第三方風險管理耗費了大量人力資源，而且還吃力不討好。現階段迫切需要更體系化、規模化的評估方法，來解放勞動力、減少成本。

如果第三方規模較小，安全性較低，那往往會成為攻擊者的目標。他們會以這些第三方為切入點，獲取高價值企業的訪問權限並實現更大規模的攻擊。使用惡意軟件竊取分包商的憑證，並利用憑證訪問目標企業的供應商專用Web服務，然後進一步滲透。這是常見的通過第三方入侵企業的例子。

2. 風險可能來自供應商之外的環節

第三方風險的範圍不侷限於第三方本身，還涉及第三方的關系網。有時候，企業的第三方本身也有其他第三方供應商（也就是“第四方”或“第三方二號”）。因此，企業組織還必須清楚地瞭解自己的第一供應商如何管理“第四方”。如果第三方來自海外，還需要考慮到不同的法律和道德約束。此外，隨着大量企業上雲，由第三方管理的不安全雲存儲數據庫也是數據泄露的常見原因。

3. 在客戶眼中，企業本身是主要責任方

對於客戶而言，企業的第三方關系復雜，很難理清具體的網絡風險範圍。即使安全風險是因為第三方造成的，客戶也會認為是企業自身的責任。這也是相關法律中考慮的因素。企業很難證明自己已經通過充分的盡職調查等方式來管理其第三方風險，而且即使第三方處理了數據，在必要情況下企業也可能會被追究責任。一般判斷是：如果一家公司在內部採取一切預防措施，但未能使用網絡風險評估調查問卷等工具審查第三方的安全性，那麼它可能根本沒有採取任何預防措施。

4. 數據生命週期的任何階段都可能存在風險

企業以前的第三方關系也可能會給組織帶來風險。例如，美國公司TigerSwan與其招聘供應商“TalentPen”在2017年2月就終止了合作，但2017年9月，因為TalentPen在AWS S3存儲平臺設置不當，依然泄露了“TigerSwan”相關的數千份簡歷。因此，企業與第三方開展業務時，不僅要了解數據的敏感程度和重要程度，還要了解第三方存儲數據的方式。同時，還要考慮到在合作結束時如何處理第三方所掌握的那些數據。

5. 傳統的網絡安全防護遠遠不夠

傳統的信息安全防護有時會將第三方風險管理視為附加的或者孤立的安全活動。很多情況下，企業只是通過應急響應的方式管理內部或者第三方風險。但這種方式只可能在短期內有效，卻不能實時監控並控制風險。

此外，企業在評估第三方風險時，往往還面臨以下挑戰：

數據準確性與質量

數據的可執行性

缺少持續性監控

風險評估速度慢

現場評估的成本低

組織內責任劃分不清楚

……

做好第三方風險管理的要點

建立信任機制

一個企業要想建立信任機制，需要考慮多種因素；甚至可能要與不同第三方之間建立不同的信任機制。建立信任也不僅僅是簽訂一份網絡安全協議那麼簡單，需要多階段多途徑去確保合作方能真正落實雙方約定的內容。企業合作的第三方往往不止一個。在處理時，應當根據風險情況來評定等級和優先級，然後綜合考慮風險程度、第三方安全程度、重要程度、地點等因素，進行處理。其中，有一些重點內容需要關註：

1. 確認第三方可以訪問的數據/系統；確認企業與第三方共享的信息、資產情況；

2. 評估企業能夠承擔的（由第三方引發的）網絡安全風險

3. 確認、審查合作方的網絡安全策略、技術，以及相關的實踐和案例；

4. 設置持續性的合作方網絡安全監控基線

同時，要將安全融入第三方的業務體系中，創建合適的監管機制、規定審查方法、合適的風險閾值以及處理未解決風險的辦法。例如，確認哪些風險是可以承受的，哪些是無法接受的；如果第三方不修復安全問題，將如何應對？

生命週期內持續監管、持續驗證

近年來，企業與第三方的合作有所改進，簽訂的合同中大多添加了安全相關的條款，並商定了持續時間、安全附錄等。確認了第三方供應商有合適的網絡安全政策和實踐，並建立了合作關系之後，企業要監督第三方落實這些條款。可以採取一年365天、每天24小時的實時監測與預警技術持續監督第三方，或者進行定期檢查驗證落地效果。最後，需要有安全專家對監控結果進行分析，及時發現異常之處。結束合作時，也要妥善處理第三方的權限及其掌握的數據。

當然，合規也是必須要考慮的一點，以避免法律風險。而針對內部員工和供應商開展定期、全面的安全意識培訓，也是一種預防手段。第三方風險管理是個持續性的過程，並非一朝一夕之功，需要企業納入整體安全策略並持續改進。