Næsten alle virksomheder gør forretninger med - eller bruger produkter fra - en tredjepart, der har været udsat for et kompromis, hvilket øger deres sikkerhedsrisici.

Det siger datavidenskabsfirmaet Cyentia Institute, som har udsendt en analyse, der inkluderer eksterne målinger af sikkerhed fra mere end 230,000 organisationer leveret af cybersikkerhedsrisikostyringsfirmaet SecurityScorecard. Den fandt, at den gennemsnitlige virksomhed havde omkring 10 tredjepartsrelationer og hundredvis af indirekte tredjepartsrelationer, hvor den typiske virksomhed havde 60 til 90 gange flere fjerdeparter end tredjeparter. Næsten alle virksomheder (98%) havde mindst én tredjepartspartner, der havde lidt et brud, hedder det i rapporten.

IT-sektoren har flest tredjeparter med et gennemsnit på 25, mens finanssektoren havde færrest med 6.5. Disse tal blæser hurtigt, når fjerdepartsforhold er inkluderet, og det samme gjorde deres risiko. Den gennemsnitlige virksomhed har et indirekte forhold til 200 fjerdeparter, der har haft et brud, fandt analysen.

Forskningen understreger den vidtstrakte karakter af tredje- og fjerdepartsforhold for virksomheder og den dramatiske stigning i risikoen, som de kan forårsage, siger Wade Baker, grundlægger og partner ved Cyentia Institute.

"Risikoen går ned ad bakke," siger han. "De første parter er mere tilbøjelige til at have gode sikkerhedsscores [risiko] end deres tredjeparter, og med fjerdeparter eksploderer tallene virkelig. Du skal forvente, at [disse firmaer og produkter] ikke lever op til dine standarder for sikkerhed."

Det skyldes, at mens mange organisationer er blevet mere modne med hensyn til deres egne cyberrisici, er de færreste klar over de udvidede risici, Cyentia og SecurityScorecard anført i analysen.

"Mange organisationer er stadig uvidende om de afhængigheder og eksponeringer, der er iboende til tredjepartsforhold, og fokuserer simpelthen på at styre deres egen sikkerhedsstilling," hedder det i rapporten. "Andre er opmærksomme på disse problemer, men træffer ikke leverandørbeslutninger baseret på sikkerhed og/eller kræver, at leverandører opfylder visse standarder. Selv firmaer, der etablerer sikkerhedskrav fra tredjeparter, kan kæmpe for løbende at overvåge overholdelse og fremskridt."

Tredjeparts- og forsyningskæderisiko er blevet væsentlige problemer i de senere år. Og CISO'er er blevet mere og mere på vagt over for deres tredjepartsudbydere lige siden kompromis fra en VVS-leverandør førte til brud på detailgiganten Target.

Mens analysen ser på tredjepartsrisiko, udvider definitionen af, hvad en tredjepart er, ikke kun til leverandører og partnere, men softwareudbydere og open source-projekter. Nu berygtede angreb på softwareleverandører såsom SolarWinds, og sårbarheder i udbredte softwarekomponenter såsom Log4J, har øget synligheden af ​​den risiko, som denne arena udgør.

De 5 bedste teknologier, der er inkluderet i tredjepartsforhold i dataene, er Google Analytics, Google Tag Manager, Amazon Web Hosting, PHP og Facebook-produkter - som alle var involveret i to tredjedele (68%) af tredjepartsforhold, stod der i rapporten.

"Mange af disse tredje- og fjerdepartsforhold [involverer, at vi begge accepterer at overholde visse politikker blot i kraft af at bruge et produkt, og nu åbner jeg mig selv for en vis grad af risiko," siger Baker.

Risiko stiger med hvert hop

Analysen fandt også, at tredjeparter typisk har en svagere sikkerhedsposition end de virksomheder, de betjener. Samlet set er der meget større sandsynlighed for, at tredjeparter får sikkerhedsproblemer, hvilket betyder, at virksomheder ikke kan antage, at alle deres tredjeparter er lige så omhyggelige med sikkerheden.

"Jeg ser det på samme måde, som vi alle ved, at vi har for mange privilegier - generelt har folk adgang til flere data, end de behøver for at udføre deres arbejde," siger Baker. "Det ville være godt at reducere antallet af tredjeparter, især hvis de ikke er nødvendige, og også være en smule mere kræsen."

Dataene tyder dog ikke på en klar vej frem, udover at blive mere opmærksom på problemet. Baker anbefaler f.eks. ikke nødvendigvis, at organisationer skærer de nederste 25 % af deres tredjeparter fra deres forretning. Men det kan være mere realistisk at evaluere dem nærmere eller oftere, siger han.

"Hvis vi virkelig ønsker at beskytte vores forsyningskæder, er vi nødt til at gøre det svageste led stærkere," siger Baker. "Og jeg tror, ​​analysen viser, at der er mange svage led på tværs af tredjeparter og fjerdeparter, og det er der, udfordringen ligger."

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
• Kilde: https://www.darkreading.com/cloud/nearly-all-firms-have-ties-breached-third-parties