对合作伙伴和分包商有特定数据使用指南的企业中,有近四分之三的企业在发生影响其共享信息的供应商事件后获得了赔偿。相比之下,没有实施这些规定的同等规模组织中,只有22%获得了赔偿。这些是卡巴斯基对 IT 安全领导者进行的一项调查的结果。
根据一项Gartner研究,与三年前相比,71%的组织都在其网络中拥有更多的第三方,而且预计未来三年仍将保持这一增长数量。为了让分包商履行其工作职责,企业通常允许他们访问其敏感数据和IT资产。
卡巴斯基IT安全经济学报告显示,79%的企业制定了特殊的政策,向合作伙伴和供应商解释如何使用共享的资源和数据以及违反政策可能招致的惩罚。他们的担忧是有道理的,因为根据调查,安全事件造成的平均损失估计为257万美元,数据泄露是企业面临的三个成本最高的问题之一。卡巴斯基研究人员发现了多次复杂的供应链攻击,包括ShadowPad.
实施第三方政策的主要好处之一是,可以通过界定所涉两个组织的责任领域来解决有关问责制的问题。作为结果,它能够增加企业从供应商那里获得补偿的机会,如果供应商成为了攻击的切入点。制定了第三方政策的企业中,有71%表示他们在遭遇安全事件后,得到了货币补偿,而没有制定这些规定的同行中只有22%得到了赔偿。这类政策也能够提高中小企业获得赔偿的几率。例如,68%的实施第三方政策的中小企业得到了赔偿,而没有为其分包商实施政策的企业中,只有28%得到了货币赔偿。
调查没有指出数据泄露政策是否减少了供应链攻击发生的频率。实施了针对第三方的特殊IT策略的企业中,近四分之一(24%)由于发生了影响供应商的网络安全事件而遭受数据泄露,而没有实施这类政策的企业中,只有9%确认遭到了攻击。
卡巴斯基B2B产品营销负责人Sergey Martsynkyan评论说:“我们的调查结果似乎相当矛盾,因为有特殊政策的企业说,他们更频繁地遭到供应链攻击。但是,我们可以建议拥有更广泛的第三方组织网络的企业应更多地关注这一领域,从而实施特定的准则。不仅如此,庞大的分包商网络可能会使此类数据泄露发生的可能性更大。此外,具有第三方政策的组织可以更准确地确定特定违规的原因。”
为了避免遭到供应链攻击,卡巴斯基建议采取以下安全措施:
定期更新您的所有合作伙伴和供应商列表以及他们可以访问的数据。确保他们只能访问执行工作所需的资源。确保与您的公司没有合作关系的组织被排除在外,并且他们无法访问或使用数据和资产。
为所有第三方提供他们应遵循的要求,包括合规性和安全实践要求。
卡巴斯基提供卡巴斯基反针对性攻击解决方案,该解决方案可以在早期阶段检测可能已在外围保护解决方案范围内进行的高级攻击,包括供应链攻击。
完整版报告参见这里。
关于这次调查
卡巴斯基全球企业IT安全风险调查(ITSRS)是一项对IT商业决策者的全球调查,现在已经进行到第9年。共在23个国家进行了4,958次采访。受访者被问及组织内部的IT安全状况、面临的威胁类型以及从攻击中恢复时必须面对的成本。涵盖的区域包括拉丁美洲、欧洲、北美、亚太地区(包括中国)、日本、俄罗斯和META(中东、土耳其和非洲)。
---------------------------------------------------------
免责声明:
1.本文援引自互联网,旨在传递更多网络信息,仅代表作者本人观点,与本网站无关。
2.本文仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。
评论 {{userinfo.comments}}
{{child.content}}
{{question.question}}
提交