网络风险已引起众多企业高管的关注，因为这些风险实际上是运营风险，因为它们可能对运营和财务造成毁灭性影响，并损害组织的声誉。在网络风险中，第三方或供应链风险成为最具挑战性的领域之一，因为严重且不可避免地依赖第三方（如云和 SaaS 提供商）是当今 IT 和安全运营的现实。组织的敏感和专有数据被传输到第三方的计算环境中，由第三方处理和存储。但是，当第三方还聘请其他外部方（即第四方）来支持其运营并处理组织的数据时，这些方如何保护这些数据？

图 1：供应链管理中的第四方关系

如何识别第四方风险？

由于供应链中可能涉及许多第四方，因此确定谁在幕后处理贵组织的敏感信息是最重要的第一步。网络安全法对供应商进行严格尽职调查的要求以及银行、保险公司、医疗服务提供商等受到严格监管的行业的指导方针可能此前已要求风险管理者向第三方索取第四方信息。合同中规定了所需披露，使收集信息变得更加容易。但是，当已签署的合同中没有这样的条款，而不愿意的供应商拒绝或无视提供所需信息的努力时，组织还能做什么呢？

外部攻击面管理 (EASM) 是一种识别组织面向公众的数字攻击面中的潜在漏洞和安全漏洞的做法，包括组织作为第三方和第四方“链接”到的 SaaS 提供商。EASM 通常本身就是一个用于扫描后仪表板的 SaaS 解决方案，它可能不需要连接到组织，仅使用组织的最少域信息执行扫描。它用于识别可公开访问的 IT 资产以及其中可能存在的任何漏洞。EASM 工具最强大的功能之一是它能够发现组织可能知道或不知道的面向互联网的 IT 资产，其中包括第三方和第四方。这些由人工智能驱动的 EASM 工具会不断调查/扫描组织的数字表面并识别出现的新资产，并通过仪表板报告漏洞、威胁和风险。

图 2：EASM 工具的示例仪表板

如何管理第四方风险？

为了管理第四方风险，组织可以要求第三方解释他们用于监控第四方安全控制的机制，包括在发生可能影响组织运营和数据的安全事件时如何以及何时通知他们。此外，这是一个很好的机会来审查第三方在安全事件通知方面的 SLA，并确定时间范围是否符合贵公司的灾难恢复和业务连续性政策和监管要求。

作为对第三方进行有效持续监控的一部分，可能通过使用商业级安全评分工具，您的组织应包括高风险的第四方并监控其安全评分，并主动了解可能导致业务中断或财务损失的第四方直接违规甚至停机。此外，使用 EASM 工具，可以执行持续或定期扫描，以深入研究第三方和第四方的漏洞和错误配置，为供应商及时采取补救措施提供基础。

如何才能降低第三方集中风险？

如果第三方严重依赖一个共同的供应商（即第四方）为您的组织提供服务，您可能无法完全放心单点故障的风险。集中风险可能意味着过度依赖一家公司提供关键服务和/或依赖最近可能饱受内乱或战争困扰的地区的资源。您的组织可以与第三方讨论集中风险并向他们提出这一担忧。在较大的第三方中，他们的风险管理部门通常已经考虑了集中风险，并且可能有数据来量化风险和计划来降低此类风险。

您的组织中谁应该监控第四方及其风险？

管理第三方、第四方和供应链风险通常需要跨部门的努力。组织的采购和/或第三方供应商管理部门可能集中负责引入供应商并完成初始和持续的尽职调查。然而，在很多情况下，与第三方的直接互动（接收服务、确定服务级别以及了解第四方是谁）是由 IT 和应用程序所有者完成的，这些职责与企业级部门分散开来。

IT 和应用程序所有者正是应用程序或工具的前端用户在系统中断、故障和安全事故发生时会联系的人，并且可能已经随着时间的推移收集了此类服务和安全数据。当实际服务水平没有（及时）传达时，企业级部门和直接处理第三方关系的一线所有者之间通常会存在脱节。当没有企业范围的采购、第三方供应商或供应链管理平台时，这种情况尤其迫切。

为了改善沟通，组织应要求至少每年向平台更新一次第三方和第四方信息，最好与审查 SLA 和续签合同的时间表保持一致。理想情况下，这样的平台应该能够与提供供应商安全评分的服务集成，将所有相关信息显示在单一窗格中。还应创建 RACI 图表，详细说明“集中式”和“分散式”利益相关者的角色和职责。

结论

需要采取多方面措施，例如有效的供应商风险管理计划、商业级供应商管理平台、EASM 工具以及包括第四方披露在内的强化合同协议等，才能有效管理供应链风险。显然，只有以周到和连贯的方式融合人员、流程和技术，才能使管理第四方风险成为可能。

原文来自checkpoint

​