第三方安全成为企业信息安全短板

　　Gartner在2016年一份报告中定义了一项新兴技术，即SecurityRatingService(SRS)，用于对组织网络安全进行评价，美国一家公司SecurityScoreCard提供SRS帮助他的客户Liquidnet管理供应商安全控制第三方风险。

　　Liquidnet是国际交易网络机构，保护客户信息是首要任务之一，如果发生问题可能就是一次 "使业务结束的潜在风险事件"，虽然他们安全各方面都很强，但第三方安全是他们的短板。他们受到监管机构，董事会，投资者和客户的严格审查，为了满足要求他们的首席安全和风险官认识到仅对自身进行数据保护措施审查已经远远不够了，必须同时审查供应商的数据保护控制。这给他们4人的团队带来了新的挑战。

　　他们主要面临了两个问题:一个是当前方法未能量化风险，供应商自评估报告的真实有效性成为问题。另一个是没有连续监测过程能够评估动态的第三方风险。

　　SecurityScoreCard提供给Liquidnet想要的第三方安全整体态势和量化信息，通过集成平台进入总体安全策略，实现更持续和全面的方法对第三方进行评估。国内也有“安全值(aqzhi.com)” 这样的产品面向国内用户提供SRS。

　　我国在数字经济发展过程中组织正在努力想办法整合与顾客、供应商、合作伙伴在数据、信息系统、工作流程和工作实务等方面业务，供应商和合作伙伴带来的第三方风险将是重要风险之一，一些新技术可以给企业在数字经济环境下风险管理带来新的思路。

　　以下为案例全文：

　　1. 背景

　　Liquidnet 是国际交易网络机构，并且这个机构拥有超过 800 个国际顶级资产管理者和职业投资人 , 这家公司管理着超过 15 万亿美元的资产并执行大量的股票和固定资产交易。作为全球领先的交易平台 ,Liquidnet 为跨越五大洲 44 市场提供特定的的交易机会，交易规模平均都在 140 万美元。代理经销商由美国证券交易委员会还有 FINRA 和各种其他监管机构在全球范围内监管。所以保护敏感信息是Liquidnet 的首要任务之一 , 同时 Liquidnet 客户要求其保证他们的交易安全等保密信息。

　　作为 Liquidnet 安全与风险首席执行官艾尔伯格自 2004 年来一直负责 Liquidnet 的安全工作。他的职责包括 Liquidnet 的全球范围的信息安全、物理安全以及企业风险管理。加入 Liquidnet 之前, 艾尔在汽车城( 纽交所的技术部门和美国运通) 做过 CISO 助理, 他监督技术安全评估和开发安全的政策和流程。自 90 年代以来, 艾尔就已经在信息安全行业工作，在那之前他一直在从事网络和软件开发工作。

　　作为管理交易过程的金融组织, Liquidnet 成员和客户的信息安全非常重要。如果发现一个问题危及Liquidnet的安全，它等同是一个“ 使业务结束的潜在风险事件” ，安全和风险首席执行官艾尔伯格说。因为安全问题会造成严重的后果, 所以艾尔非常重视客户和他们的信息的安全。这种谨慎的态度也要应用于 Liquidnet 对第三方的管理。

　　因此，艾尔希望确保 Liquidnet一致和彻底地检查第三方。 “不仅仅是我们的厂商 ......我们的客户和监管机构也正在寻找能够全面分析风险的方法。 ”由于 Liquidnet 是一家金融机构，他们受到监管机构，董事会，投资者和客户的严格审查，甚至每个持股的员工也希望 Liquidnet 保证满足监管标准来保护他们的数据。 同时艾尔发现在监管机构越来越关注第三方的安全性，为了满足监管标准，仅对自身进行数据审查保护控制已经不够了，Liquidnet必须同时审查其第三方的数据保护控制。

　　2. 挑战

　　为了满足客户和监管机构对第三方审核要求，Liquidnet 主要依靠安全自评估问卷和第三方评估报告，如 SSAE16 SOC2 和 ISO 27001 。然而, 一些厂商 ( 尤其是较小的厂商) 无法提供这些基于最佳实践的标准合规性报告。一般情况下，Liquidnet 要求厂商定期做安全实践评估。有时厂商提供的是其他类型的报告( 例如,SSAE16 SOC1) ，这并不是用来评估信息安全的。在这些报告中，评估标准将由厂商自己设定，可能不包括 SOC2 和 ISO 27001 要求的内容，并且他们可能仅关注有限的安全要求。但是艾尔团队不得不依靠各种各样的厂商提供的一些自评估报告和来自外部评估者的报告进行评估，这样不仅对厂商管理消耗大量时间而且评估结果也不太准确。

　　Liquidnet 对其供应商每年进行一次年度审查，但网络安全事件瞬息万变一年内发生会有很多事件发生。另外在没有第三方评估的情况下对于小厂商这个问题更加复杂，没有评估就没有办法来观察逐年的进展。

　　许多厂商评估过程是定性的而不是定量的，这让艾尔感到有压力。当他需要进行对风险进行处置决策时，却没有有效的数据。

　　虽然他最初试图在其部门内部自主研发评分工具，但艾尔发现，这个成本对于一个规模只有四个人的团队来说太昂贵了。该团队已经承担了第三方风险管理，物理安全和网络安全的职责，其中包括监控 Liquidnet 现有的安全控制，防火墙，入侵检测系统以及安全应急。艾尔希望可以直接看到第三方网络存在的问题、被恶意代码感染和系统漏洞，并且获取到相关的量化的评估结果。然而，事实上艾尔没有足够的时间和权限获得上面的结果。

　　总的来说,Liquidnet 在第三方风险管理主要有两个问题:

　　一个问题是 Liquidnet 当前的第三方评估方法未能量化风险，而且当一味的尝试满足监管机构和董事会对 Liquidnet 加强第三方审核力度的要求时，自评估报告的真实有效性就成为一个问题。另外一个问题是他们没有持续的监测过程以便能够评估动态的第三方的风险。

　　幸运的是，当将 SecurityScorecard 推荐给艾尔时，艾尔立即对 SecurityScorecard 数据的广度和深度印象深刻，并且知道这是一个可以解决他上述问题的工具。

　　3. 解决方法

　　艾尔发现了 SecurityScorecard 平台，提供了他想要的第三方安全整体态势和量化信息，也使他能够有选择性专注于具体的指标上。通过集成平台进入 Liquidnet 的总体安全策略, 可以让艾尔的团队有更持续和全面的方法对第三方进行评估。

　　因为 SecurityScorecard 向艾尔提供他之前不可见的第三方信息, 他可以依靠该平台来增强第三方风险管理能力，这些功能对像 Liquidnet 这样的公司变得越来越重要。对于 Liquidnet，使用该平台是一种性价比很高方式，不仅能够评估第三方和合作伙伴，而且还无需雇佣其他人对第三方进行审核，直接使用由 SecurityScorecard 独立和连续的监测任务就可以了。

　　“SecurityScorecard is a force multiplier for my team, allowing us to do things we could not do before. It’s like having another, dedicated vendor management team member.”。

　　利用平台的按需设置的功能，艾尔可以随时比较多个第三方的安全状态，同时还可以查看动态的安全评级，这大大改进了原有的过程。 他不再需要放弃较小的第三方评估，也不用等到下一个年度审核期开始才进行评估工作。

　　4. 如何使用SecurityScorecard

　　Liquidnet 使用 SecurityScorecard 主要用于其第三方风险管理和修复过程。Scorecard 还是一个Liquidnet 与第三方就安全问题进行交流沟通的平台，这是促进双方商讨采取整改措施的非常好的起点。 同时，Liquidnet 可以与第三方共享和下载报告，并邀请他们到平台讨论发现的漏洞或评级降级原因。并且可以将合作沟通的信息展现给监管机构和董事会以表示 Liquidnet 满足监管要求和合规标准。

　　满足法规和合规标准对于像 Liquidnet 这样的金融组织是很正常的，所以艾尔通常使用诸如 SIG 和 SIGlite 的调查问卷来验证合规性。他对第三方也这样做，对返回的问卷选择“信任”，但需验证。这使他能够保证自评估报告与平台独立报告的一致性。

　　艾尔发现的另一个好处是在每个组织的安全评级中集成了行业基准对比功能。允许将不同的第三方包含在特定分组中。艾尔利用了平台灵活的自定义连续监控的功能，了解合作伙伴和客户在其领域内的状况，以及他们的安全态势。

　　艾尔在安全分类中选择他认为最有价值的指标，例如 IP 黑名单和黑客攻击。获取特定公司的“动态”并且快速了解第三方如何管理服务器和处理恶意代码，这些都是显示公司安全性的强大指标。另一方面，平台可以深度挖掘网上黑客论坛中的相关信息。

　　上述功能为像艾尔团队这样规模较小、资源有限的安全部门提供了更强的安全能力。

　　5. 总结

　　“My security is only as strong as the weakest person in the weakest third-party”

　　SecurityScorecard 使艾尔在大公司轻松的进行第三方风险管理。 现在Liquidnet 可以主动发起信息安全分析，并根据 SecurityScorecard 检测到的内容与第三方进行交流，而不必等待关键的漏洞被利用或安全事件发生。

　　虽然作为相对较新的用户，但是艾尔已经从 SecurityScorecard 看到了很多价值。如果没有这个平台，艾尔就将必须添加专门负责该项工作的员工，如此大规模地实施对各种各样的第三方进行连续监测的工作会遇到很多困难。运用 Scorecard 平台的定期持续监测和常态化评估是第三方风险管理过程的一个巨大进步。现在，艾尔的团队可以做的比每年完成一个合规性列表或填写评估检查列表要更多。艾尔知道越来越多的最终用户成为攻击的目标。黑客们变得越来越聪明，他们使用社会工程利用公司员工来进入一个公司网络，特别是考虑到现在黑客所针对的组织和个人的信息，所以安全教育和安全意识现在是至关重要的。由 SecurityScorecard 提供的信息，比如恶意代码等，可以让艾尔预见到一些安全隐患。

　　SecurityScorecard 可以让艾尔做实时的、定制化的安全评估，例如将黑客如何获得第三方的信息以及恶意代码的更新情况作为第三方风险管理计划的一部分。现在，艾尔即可以保证他已有的安全策略，同时还可以根据新漏洞的风险和攻击方法实时进行第三方评估。