选择供应商时需要考虑的八个网络安全问题
为了最大程度地减少这些风险和损失,公司需要意识到来自第三方的网络威胁,并采用新技术来审核供应商和业务合作伙伴。数据泄露会给公司带来巨大的财务损失和声誉损失,这也是为什么公司在选择新供应商时应该认真对待第三方威胁和网络安全问题的原因。
根据 2019 年 Juniper Research 的研究报告:到 2024 年,数据泄露的损失预计将从每年 3 万亿美元增加到 5 万亿美元,这对于依赖第三方服务来保障其核心业务的大型公司尤为重要。另外,Opus 和 Ponemon Institute 于 2018 年进行的一项研究发现:近 60% 的公司经历了与第三方供应商有关的数据泄露事件。
在 2019 年,Quest Diagnostics 宣布其第三方账单收集机构泄露了 1190 万患者的个人信息。最近的一个例子来自数字银行提供商 Dave,该公司在 7 月披露了涉及 750 万用户信息的数据泄露事件。该公司表示,数据泄露是由其前第三方提供商之一造成的。
供应商越多,威胁越多
如今,许多公司开始依赖许多个第三方供应商来开展工作或者制造商品。例如,苹果公司 2019 年就与 200 家与其供应链相关的公司展开合作。
在许多情况下,网络威胁是由供应商的安全漏洞带来的。例如,加密货币钱包应用程序 Agama 由于其第三方 JavaScript 库中的严重漏洞而被黑客入侵。
公司在管理第三方网络威胁方面面临的主要挑战是合作伙伴的安全协议不受公司的直接控制。公司投入资金和技术人员来保护其信息系统免遭数据泄露的侵害,但这通常只对其内部环境有效,而且公司对服务提供商实施的安全管控是有限的。
需要考虑的问题
1.供应商是否具有安全联系人或首席安全官?
如果供应商配备了专业的资源来管理风险、保护关键信息,这起码表明他们以最大的诚意、最认真的态度采取了安全措施。
2. 供应商是否具有行业认证?是否符合 NIST 等行业框架?
尽管行业认证不一定表明供应商的安全控制是有效的,但是确实为供应商对保护其系统和客户的信息的承诺提供了额外的保证。
3. 供应商是否具有成熟的威胁管理和情报计划?
真正重要的是确认供应商的安全控制是有效的,可以通过查看独立的安全审查报告来评估供应商的漏洞管理、安全软件开发流程和威胁管理等方面做的好不好。
4. 供应商允许额外的审计吗?
根据第三方供应商的风险状况,可能需要考虑增加一个条款,提供对第三方系统进行审核以确定其风险和暴露程度的权利。
5. 供应商是否制定了成熟的事件响应计划?
数据保护和隐私保护的相关法规越来越严格,公司有义务在指定的时间范围内披露重大安全事件。披露的责任在于数据所有者和保管者,因此公司需要与受影响的供应商紧密合作,满足时间表的要求避免罚款或违规。
6. 供应商是否遭受了重大网络攻击或者数据泄露?
任何公司都无法在网络攻击中幸免遇难,当公司面临着明显的问题时,最明智的做法是知道问题出在哪里,解决问题防止问题再次发生。
7. 供应商产品是否与数据处理需求保持一致?
公司可能对特定区域的数据有严格的要求或者不同的业务需求,选择供应商时,必须对这些要求达成一致并且持续监控。
8. 供应商的网络安全水平怎么样?
谨慎确定公司在网络上的暴露情况,预测由于暴露造成的潜在破坏的可能性。有许多公司可以为供应商提供打分评价,也可以为供应商进行基准测试。
参考来源:Forbes
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
开学了,Silent Librarian 黑客组织已经瞄准全球各地学校
随着各高校的开学,Silent Librarian 黑客组织增加了鱼叉式网络钓鱼攻击。显然,他们的目标很明确。 Silent Librarian是一个来自伊朗的黑客组织,也被称为 TA407和COBALT DICKENS。据研究人员称,恶意活动已经持续了近两年,但是在COVID-19封锁之后,随着学生和学校的工作人员回归,该组织的攻击又出现了激增。 事实上,2018年3月,美国司法部起诉9名伊朗公民,称他们以大学为目标窃取敏感的研究记录。从那时起,该组织已走向全球,其活动至今仍在进行。 Silent Librarian通过注册与学校(大学)相似的顶级域名(TLD)来运作。该小组会先分发一些钓鱼文件,包含将受害者定向到克隆的大学登录门户的链接或HTML附件。这些虚假的门户网站做得非常逼真。通过查看该小组运营的某些站点,可以发现其中许多站点的登录页面是从原始大学站点克隆的,目的就是诱骗用户提供其登录凭据。 钓鱼网站涉及的大学包含了 Victoria University (维多利亚大学 ) Universiteit Utrecht Stony brook University The Un...
- 下一篇
什么是物联网?常见IoT 物联网协议最全讲解
推荐语:这是一本从技术原理、工程实践、设计模式和最佳实践4个维度讲解物联网系统开发的著作,是作者10余年实践经验的总结。 付强,某智慧社区企业的联合创始人兼CTO,资深IoT技术专家,有10余年从业经验,专注于物联网平台和产品的设计与开发,非常熟悉各种物联网协议和物联网系统的架构与开发。 一、什么是物联网? 物联网(Internet of Things)这个概念读者应该不会陌生。物联网的概念最早于1999年被提出来,曾被称为继计算机、互联网之后,世界信息产业发展的第三次浪潮,到现在已经发展了20余年。如今,在日常生活中,我们已经可以接触到非常多的物联网产品,例如各种智能家电、智能门锁等,这些都是物联网技术比较成熟的应用。 物联网最早的定义是:把所有物品通过射频识别等信息传感设备与互联网连接起来,实现智能化识别和管理。当然,物联网发展到今天,它的定义和范围已经有了扩展与变化,下面是现代物联网具有的特点。 1.1 物联网也是互联网 物联网,即物的互联网,属于互联网的一部分。物联网将互联网的基础设施作为信息传递的载体,即现代的物联网产品一定是“物”通过某种方式接入了互联网,而“物”通过互联网...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- MySQL8.0.19开启GTID主从同步CentOS8
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2整合Redis,开启缓存,提高访问速度
- Windows10,CentOS7,CentOS8安装Nodejs环境
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- CentOS7设置SWAP分区,小内存服务器的救世主