如何识别易受攻击的第三方软件

编者按: 以下是FortifyData赞助的一篇博文.

2020年将被载入史册，成为充满惊喜的一年. 在事后看来, 一个趋势是, 虽然并不意外, 措手不及的公司惊慌失措, 网络安全漏洞的爆炸性事件是通过第三方软件发生的吗. 这些趋势鲜明地提醒我们，第三方在网络安全工作的成败中扮演着至关重要的角色.

不管来源是什么, 一旦违约发生, 信誉和业务的损失是最严重的后果之一. A 波耐蒙研究所的研究 发现31%的消费者会停止使用受数据泄露影响的公司的服务. 数据泄露的平均成本相当可观. 根据 IBM的一份报告到2020年，这一数字为3美元.8600万年.

第三方软件风险的上升
当涉及到第三方数据泄露时，头条新闻总是层出不穷. 2020年初， 通用电气的人力资源文档管理系统 由佳能业务流程服务提供的数据被泄露. 它暴露了20多万份通用电气的个人和健康福利记录 现任和前任雇员. 的 影响Instagram、YouTube和TikTok的大规模数据泄露, 近2.35亿用户账户被曝光, 追查到Deep Social, 一个现已倒闭的社交媒体数据经纪人.

航空航天和汽车制造商——特斯拉, SpaceX公司, 波音公司, 和洛克希德公司-通过 维瑟造成的破坏，一家第三方零部件公司. 旅游业也受到了影响. Expedia、酒店.com, 以及其他一些旅游网站遭遇了第三方威望软件的严重数据泄露, 该公司将其在线预订客户的1000多万条记录存储在一个暴露的AWS S3桶中.

当第三方软件在大多数组织中成为一种常见的商品时, 目前，缺乏正式的审查流程来评估软件的安全状况，并在持续的基础上减轻它们对公司核心业务构成的风险.

如此严重的数据泄露强调了在整体第三方风险管理(TPRM)中识别和评估第三方软件漏洞的重要性。.

识别和管理第三方软件漏洞的最佳实践
安全研究发现 22%的受访公司没有监控其供应链以确保安全, 32%的人没有定期重新评估他们的供应商或在培训新供应商时.

除了测试和认证第三方软件方面的挑战, 记录和监控不足是另一个障碍. 软件即服务(SaaS)通常缺乏检测数据泄露的措施. 发现漏洞的时间大概是 平均200天，这为攻击者在对安全事件做出反应之前提供了充足的时间.

为了应对这些挑战，可以通过以下方式识别漏洞:

• NextGen网络安全评级: 在某个时间点进行监视不足以覆盖正在进行的安全事件链. 下一代TPRM工具利用安全等级来分析风险并持续监控事件，可以提供可见性并促进早期检测威胁.
  • 主动和被动扫描: 定期扫描以识别, 优先考虑并评估软件漏洞, 并将它们映射到释放, 使您的基础设施对第三方软件和组件具有弹性. 这些扫描必须包括第三方web应用程序和SaaS上的web应用程序漏洞识别. 这样的扫描将利用一个标准的 OWASP前十名，这是一份定期更新的软件重大安全风险清单，包括:
    • 注入攻击
    • 破碎的身份验证
    • 敏感数据暴露
    • 安全错误配置
    • 跨站点脚本编制
    • 不安全的反序列化
    • 使用具有已知漏洞的组件等.
  • 自动风险评估通过使用基于框架的集成问卷对第三方软件进行网络风险评估和评分，可以帮助您识别和自动验证控制缺陷和差距，这对于改善您的整体风险状况也至关重要.

  利用下一代第三方风险管理解决方案
  识别和减轻第三方软件漏洞似乎是一项艰巨的任务. 然而，利用下一代网络安全风险管理平台 第三方风险管理, 像FortifyData, 将简化如何保护您的组织免受第三方软件的威胁.
  
  以下是下一代TPRM解决方案对软件漏洞缓解的期望:

  • 自动评估第三方软件和 网络风险评分
  • 第三方遵从性的自动验证
  • 持续监控和基于事件的警报，用于早期威胁检测
  • 全面的风险报告和易于协作的及时补救

  如今，保护组织的安全不仅仅涉及员工和内部基础设施. 今天, 第三方软件和供应商是核心操作工作流的组成部分，通常是安全框架中的薄弱环节.
  
  对下一代TPRM工具进行优先排序和投资是自动化的, 简化并强化澳门赌场官方下载安全状态和威胁恢复能力.