2024年第三方风险管理(TPRM)趋势预测
无论您的组织是否做好了准备,与第三方合作伙伴关系相关的风险都将继续增加。2022年,仅在美国就发生了1802起数据泄露事件,泄露了超过4.22亿人的信息。虽然这些数字足以吓到任何组织,但许多报告预计,这些数字将在整个2024年继续飙升。
随着供应链的扩展和漏洞数量的增加,有一件事是始终不变的:您的组织需要积极地对待第三方风险管理(TPRM)。
最好的TPRM程序足够强大,可以防止严重的数据泄露,并且足够灵活,可以保护组织免受新出现的威胁困扰。
继续阅读本文,了解您的组织在2024年应该注意的TPRM趋势,并学习如何适当调整您的TPRM计划。
2024年第三方风险管理趋势
1. 攻击面将扩大
随着物联网(IoT)技术的加速采用,组织的攻击面也将不可避免地扩大。而当组织管理第三方供应商的广泛供应链时,这种扩展会增加十倍,因为每个供应商的攻击面也在增长。
2019年的一项研究预测,到2030年,将有超过1240亿个物联网设备投入使用。这种巨大的扩张可能会带来毁灭性的后果,因为网络犯罪分子正企图利用数据安全基础设施薄弱的新端点。2017年,黑客通过入侵一个有wifi功能的鱼缸,从一家赌场窃取了10GB的数据。
虽然这起事件在当时看来很新鲜,但随着攻击面扩大,类似事件可能会变得越来越常见。组织保护自身免受这种新兴威胁影响的最佳方法是消除盲点,并获得对整个供应链的可见性。
2. 供应商风险和漏洞将增加
到2023年底,供应商违规事件的影响将到达一个惊人的十字路口:组织将继续把关键业务功能外包给更多的第三方服务提供商,而供应链攻击也将达到新的复杂程度。即使是2020年的SolarWinds攻击,现在估计也是一个涉及1000多名黑客的复杂工程。
展望未来,网络犯罪分子将越来越频繁地瞄准供应链,而不是直接瞄准个别公司。组织防止此类攻击的唯一方法是维护其供应商风险管理(VRM)计划,并根据需要安装新的保护措施。
3. 供应商风险和内部风险将趋同/融合
虽然供应商和内部风险的融合似乎是显而易见的,但实际情况却并非总是如此。甚至在五年前,组织还在以不同的理念和网络安全策略来处理内部和外部生态系统。一些组织可能仍然配置专门的团队分别专注于TPRM或组织的内部安全态势。
然而,随着供应链的持续扩展以及组织对更多第三方供应商的依赖,供应商风险和内部风险之间的界限将继续模糊。随着这些界限的模糊,组织将意识到他们的内部系统与供应链中的供应商相关风险之间没有实际的区别。
展望未来,组织应该采取全面的网络安全方法,并将供应商风险管理纳入组织的内部风险计划中。毕竟,持续关注法规遵从性(下文将详细介绍)将要求组织以新的审查水平执行供应商尽职调查,因为许多隐私法致力于让组织对其供应商的疏忽负责。
为了加强TPRM流程并将其集成到整体安全框架中,组织可以采取的第一步是将所有风险数据(内部或外部)整合到一个安全位置。
4. ESG关注将升级
随着消费者对可持续性、人权和道德商业实践的需求不断增加,环境、社会和治理(ESG)框架将继续受到更多TPRM的关注。
在整个2023年及未来,组织将寻求与符合其内部价值观的供应商建立专门的第三方关系。目前,还没有一个被普遍接受的框架作为ESG评估的标准。
然而,随着以下任何一种ESG框架在特定行业中变得司空见惯,这种情况可能会迅速改变:
- GRI标准:全球可持续发展报告倡议组织(GRI)发布的一套报告标准;
- SASB标准:可持续发展会计准则委员会(SASB)制定的一系列针对特定行业的ESG披露标准;
- UNGC标准:联合国全球契约组织(UNGC)制定的一套标准;
- TCFD框架:气候相关财务信息披露工作组制定的一套披露体系,旨在披露气候变化对企业财务绩效和公司市值带来的实质性影响;
5. 自动化将达到新的高度
虽然一些组织可能仍然使用手动策略进行供应商风险管理,但网络安全行业已经不再接受电子表格或手动报告作为最佳实践。
自动化将继续主导未来的对话,因为TPRM的每个阶段都变得过于复杂,无法手动跟踪。机器学习和人工智能等自动化技术的持续崛起,也反映了该行业致力于领先网络犯罪分子的决心。
那些还没有在TPRM程序中实现自动化的组织可能对隐藏的数据风险视而不见,因为他们的风险预防策略效率低下且无效。
在TPRM程序中实施自动化将允许组织实现下述目标:
- 缩短供应商风险评估流程;
- 改善业务连续性和决策能力;
- 提高风险识别效率;
- 实现24/7供应商监控;
- 快速缓解和修复安全风险;
- 改善供应商关系;
- 高效扩展VRM计划;
6. 零日漏洞将继续带来灾难
在过去两年中,零日攻击(在开发人员意识到漏洞之前发生的攻击)的发生令人震惊。Mandiant在2021年报告了81次零日攻击,2022年报告了55次。在这136次攻击中,有几次非常有效,造成了毁灭性的破坏。随着黑客继续寻找新的漏洞并持续改进其策略,零日攻击将在整个2023年及未来继续产生严重后果。
据报道,发生于2023年7月的MOVEit零日攻击影响了122家组织,暴露了大约1500万人的数据。
为了对抗这种趋势并防御类似于MOVEit漏洞的攻击,组织应该使用零信任架构(ZTA)来改进其TPRM程序。数据保护和信息安全的零信任方法允许组织在不牺牲供应商关系的运营优势的情况下,提高其第三方风险抵御能力。
一些组织(如受拜登总统网络安全行政命令监管的组织)被要求将ZTA纳入其网络安全计划。
在TPRM计划中实施零信任策略将包括两个主要步骤:
- 安装供应商特权访问管理(VPAM)控件;
- 在整个供应商生命周期中进行全面的供应商风险评估。
在开始开发新技术之前,一直忙于新开发的组织也应该考虑项目的网络安全风险。
7. 数据隐私法将主导对话
当欧盟的《通用数据保护条例》(GDPR)于2018年正式生效时,数据隐私的闸门就此打开。联合国目前估计,全球71%的国家已经实施了某种形式的数据隐私制裁。
虽然美国联邦政府尚未制定自己的全面数据隐私政策,但美国许多州已经通过了全面的隐私立法,以保护州居民的个人信息。
数据立法往往进展缓慢。然而,随着规范现代技术的法律变得更加普遍,这种情况可能会在2024年发生变化。
每个组织都应该准备好在未来几年承受风险和遵从性法规的冲击。组织还应该开始为新的供应链风险做好准备,因为他们的供应商也在同样的变化条件下前行。
组织应该在TPRM程序中实施严格的入驻和供应商评估协议,以在这种趋势中更好地保护自己。
参考及来源:https://www.upguard.com/blog/tprm-trends-2024
