集体保护策略：如何通过“麝牛法则”降低第三方风险

关键要点

CISOs 需要采取集体保护措施，使用“麝牛法则”来保护共同的第三方服务提供商，以降低业务风险。第三方风险管理是CISO面临的重要挑战，特别是在网络攻击频发的行业如医疗和金融服务。通过建立合作机制，企业可以共同保护关键第三方供应商，提升整体网络安全韧性。

来源 Aleksandr Kutskii / Shutterstock

第三方风险管理是CISO面临的一项重大挑战，其对业务的影响深远。当关键的第三方供应商遭遇网络攻击时，企业的运营可能会陷入瘫痪状态。

在医疗和金融服务领域，第三方成为近期网络攻击的主要目标。今年六月，俄罗斯APT29又名“舒适熊”攻击了TeamViewer，这是一款拥有250万用户的免费远程访问软件。许多企业对其依赖甚重。

即使你不是TeamViewer的用户，还有许多类似的远程桌面工具如Perimeter81、ISL Online、AnyDesk、GoToMyPC、Splashtop、RemotePC、RealVNC和GoToResolve等这不禁让人思考，下一个被攻击的第三方供应商会是谁？

而且，或许更重要的是，您是否能够承担了解答案的代价？

第三方是您最脆弱的环节

不幸的是，现状并不乐观。每个企业在软件供应链和业务流程中都过度依赖众多第三方供应商。这其中的数量可能达到数百甚至数千，尤其是考虑到企业每天所依赖的众多SaaS供应商。

因此，第三方风险是显著的，而且还有许多因素超出了数量本身。例如：

clash pro透明度有限：企业通常将第三方审查视为走过场，但所用数据大多陈旧，无法反映当前的风险态势。复杂性：许多第三方自身也有您可能不知情的第四方供应商。流程不成熟：许多第三方的网络安全政策和标准较之自身相对欠缺。投资有限：相较于公司，第三方的网络安全预算通常更为有限，造成其在工具和服务保障上的投资减少。

传统的第三方风险解决方案

幸运的是，已经制定出一系列的最佳实践和行动方案来应对这一缺口。

例如，每个企业都进行供应商评估。这些评估常常以纸质方式进行，因而无法有效地减少风险，因为数据往往过时。合同谈判亦是一种增加第三方安全要求的方式，但效果也不显著。

一些企业已经采用持续监控方法，以获得进一步的报告来监督第三方的安全态势。此外，企业常常实施第三方事件响应计划，以制定和演练应对涉及第三方的安全事件的策略。

这些努力无疑是有帮助的，但它们并不能完全解决潜在风险的本质。相反，这些只是提供了在风险发生时的监控和缓解手段。

麝牛战略

我非常自豪地成为FSISAC的成员，并曾与来自金融服务公司的其他CISO一起担任亚太区战略委员会的主席。这个团队是一个很好的例子，展示了我们如何团结协作来保护自己。

FSISAC金融服务信息共享和分析中心在全球范围内建立了一个无与伦比的金融机构网络，各成员之间分享关于