對合作夥伴和分包商有特定數據使用指南的企業中,有近四分之三的企業在發生影響其共享信息的供應商事件後獲得了賠償。相比之下,沒有實施這些規定的同等規模組織中,只有22%獲得了賠償。這些是卡巴斯基對 IT 安全領導者進行的一項調查的結果。
根據一項Gartner研究,與三年前相比,71%的組織都在其網絡中擁有更多的第三方,而且預計未來三年仍將保持這一增長數量。為了讓分包商履行其工作職責,企業通常允許他們訪問其敏感數據和IT資產。
卡巴斯基IT安全經濟學報告顯示,79%的企業制定了特殊的政策,向合作伙伴和供應商解釋如何使用共享的資源和數據以及違反政策可能招致的懲罰。他們的擔憂是有道理的,因為根據調查,安全事件造成的平均損失估計為257萬美元,數據洩露是企業面臨的三個成本最高的問題之一。卡巴斯基研究人員發現了多次複雜的供應鏈攻擊,包括ShadowPad.
實施第三方政策的主要好處之一是,可以通過界定所涉兩個組織的責任領域來解決有關問責制的問題。作為結果,它能夠增加企業從供應商那裡獲得補償的機會,如果供應商成為了攻擊的切入點。制定了第三方政策的企業中,有71%表示他們在遭遇安全事件後,得到了貨幣補償,而沒有制定這些規定的同行中只有22%得到了賠償。這類政策也能夠提高中小企業獲得賠償的幾率。例如,68%的實施第三方政策的中小企業得到了賠償,而沒有為其分包商實施政策的企業中,只有28%得到了貨幣賠償。
調查沒有指出數據洩露政策是否減少了供應鏈攻擊發生的頻率。實施了針對第三方的特殊IT策略的企業中,近四分之一(24%)由於發生了影響供應商的網絡安全事件而遭受數據洩露,而沒有實施這類政策的企業中,只有9%確認遭到了攻擊。
卡巴斯基B2B產品營銷負責人Sergey Martsynkyan評論說:“我們的調查結果似乎相當矛盾,因為有特殊政策的企業說,他們更頻繁地遭到供應鏈攻擊。但是,我們可以建議擁有更廣泛的第三方組織網絡的企業應更多地關注這一領域,從而實施特定的準則。不僅如此,龐大的分包商網絡可能會使此類數據洩露發生的可能性更大。此外,具有第三方政策的組織可以更準確地確定特定違規的原因。”
為了避免遭到供應鏈攻擊,卡巴斯基建議採取以下安全措施:
定期更新您的所有合作伙伴和供應商列表以及他們可以訪問的數據。確保他們只能訪問執行工作所需的資源。確保與您的公司沒有合作關係的組織被排除在外,並且他們無法訪問或使用數據和資產。 為所有第三方提供他們應遵循的要求,包括合規性和安全實踐要求。 卡巴斯基提供卡巴斯基反針對性攻擊解決方案,該解決方案可以在早期階段檢測可能已在外圍保護解決方案範圍內進行的高級攻擊,包括供應鏈攻擊。
完整版報告參見這裡。
關於這次調查
卡巴斯基全球企業IT安全風險調查(ITSRS)是一項對IT商業決策者的全球調查,現在已經進行到第9年。共在23個國家進行了4,958次採訪。受訪者被問及組織內部的IT安全狀況、面臨的威脅類型以及從攻擊中恢復時必須面對的成本。涵蓋的區域包括拉丁美洲、歐洲、北美、亞太地區(包括中國)、日本、俄羅斯和META(中東、土耳其和非洲)。
閱讀更多 牛華網 的文章
