什么是第四方风险管理(FPRM)？

第四方风险管理是识别、评估和减轻由您的第三方供应商（您的供应商的供应商）的供应商构成的网络安全风险的过程。随着数字化转型压缩 IT 生态系统之间的界限，如果您的任何供应商受到威胁，他们都可能从值得信赖的供应商转变为关键数据泄露攻击媒介。

虽然管理第三方安全风险的重要性现已 在网络安全行业得到广泛认可，但很少有组织会考虑第四方风险的影响。这篇文章概述了实施第四方风险管理程序的框架，以保护您的数据免受这个被忽视的攻击面区域的影响。

为什么第四方风险管理很重要？

第四方风险管理很重要，因为受损的第四方供应商可能导致您的组织遭受数据泄露。要了解使这些事件成为可能的途径，请考虑您的公司与在线交易处理器合作的场景。反过来，该平台可能会将其所有信用卡处理外包给自己的第三方（您的第四方）。

如果此信用卡处理器没有足够的安全措施，网络犯罪分子可能会利用它们，导致交易处理器的敏感数据也被泄露。由于您的企业还与交易处理器共享敏感的内部信息以支持其服务，​​因此当它们受到损害时，您的企业也会遭到破坏。数字化转型具有将攻击面与每个已建立的供应商关系相结合的不良且不可避免的影响。现在，不仅您的第三方供应商的漏洞会影响您的安全态势，您的第四方风险也会在影响您的风险偏好方面发挥关键作用。

第三方风险管理与第四方风险管理的区别

第三方风险管理侧重于您的直接供应商带来的安全风险，而第四方风险管理则将这种审查扩展到供应商的合作伙伴。由于与您的第四方供应商缺乏直接业务关系，外部监控解决方案（例如攻击面监控工具和供应商风险管理平台）对于填补这些抵消关系造成的可见性差距至关重要。

实施 FPRM 的三支柱框架

重要的是要了解，与 TPRM 一样，FPRM 不是一项独立的网络安全计划。它。应与您现有的网络安全计划无缝集成。要了解这些集成应该如何工作，请参阅这篇文章。遵循此框架来扩展您的网络安全计划以包括第四方风险管理。

1.确定所有关键的第四方供应商

由于一般组织与11 家第三方供应商合作，映射您在该网络中的敏感数据流是一项相当大的工作。但是当你进一步放大并考虑从每个第三方节点分支出来的第四方网络时，这个过程就变成了逻辑上的噩梦。

值得庆幸的是，第四方风险管理计划并不要求对所有第四方进行同等监控。以高效第三方风险管理程序为特征的优先级排序原则也适用于 FPRM。在第三方风险管理计划（也称为供应商风险管理计划）中，供应商是分层的，以便关键供应商——那些处理更高程度敏感数据的供应商——在风险缓解工作中优先考虑。

建立 FPRM 的第一步是确定所有关键的第四方。关键性不一定仅由正在处理的敏感数据的程度决定——尽管这应该是一个主要的决定指标。如果供应商自己的供应商因网络攻击或任何其他业务中断而被迫下线，关键性也会受到对您的业务运营的潜在影响程度的影响。

确定您的关键供应商仍然是一个需要克服的相当大的障碍。最简单的方法是询问那些比你更了解你的第四方的人——你的第三方供应商。风险评估或安全问卷是理想的使用工具。由于不存在行业标准的第四方风险调查问卷，因此您可以通过为此目的定制设计安全调查问卷来更准确地反映每个第四方关系。自定义问卷生成器，允许风险管理团队自定义现有的监管标准问卷或从空白画布构​​建完全定制的设计。

以下是一些可以帮助您衡量每个第四方供应商的重要性的问题：

1. 供应商对您向我公司提供您承诺的产品/服务的能力是否至关重要？
2. 遭受中断的供应商是否会启动您的业务连续性计划？
3. 服务提供商是否有权访问我的任何敏感数据？如果是这样，与他们共享什么类型的数据，这种访问的原因是什么？
4. 如果供应商受到威胁，有哪些安全措施可以保护我的敏感数据？
5. 供应商的服务可用性是否取决于您遵守任何数据安全法规（例如GDPR）的能力？

对这些问题的回答将使您能够按关键程度对第四方供应商进行分级，从而轻松识别在监控工作中需要优先考虑的实体。如前所述，您对分层策略的选择取决于您独特的信息安全要求。如果您不确定使用哪个指标来通知此结构，您可以使用的客观且广泛采用的安全状况指标是安全评级。

尽管定制的安全调查问卷可以帮助您了解大部分关键的第四方供应商，但由于不准确或不完整的回答，仍然存在一些被忽视的风险。为了填补这些空白，应将攻击面监控解决方案与安全问卷结合使用。

供应商风险管理平台， 会自动发现您网络中的所有第四方供应商，帮助您跟踪在此阶段被查询的所有第四方。在建立第四方关系基线后，可以在您了解更多第四方供应商时添加它们，以简化向前推进的第四方供应商映射工作。

当单独使用时间点评估（例如安全问卷）时，被忽视的攻击媒介的风险总是很普遍。这就是为什么最好的供应商风险管理平台将风险评估和安全评级解决方案的增强标准化以生成实时安全态势跟踪的原因。

2. 将第四方风险管理纳入您的尽职调查流程

在确定了您当前所有关键的第四方服务提供商之后，应将新的第四方供应商发现添加到尽职调查流程中，以简化这项工作。此过程应涉及查询每个新供应商的第三方和分包商的自定义评估。以下是一些可帮助您在尽职调查阶段评估第四方供应商风险的问题：

• 您与第三方服务提供商和承包商有任何合同吗？
• 这些实体是否可以访问您的数据？
• 所有被访问数据的敏感度是多少？
• 您的任何第三方合同是否会在海外处理数据？
• 所有外包数据处理的敏感度是多少？
• 您对每份第三方合同都进行了哪些尽职调查？
• 您从第三方关系中发现了哪些集中风险，发现这些风险的过程是怎样的？
• 这些风险中有多少得到了补救？
• 您如何衡量每项补救措施的成功与否？

一些可用于评估第四方供应商安全状况的安全风险评估包括：

• 供应商安全调查问卷。
• 渗透测试。
• 安全审计。
• 合规评估。‍
• 鉴证业务标准声明 (SSAE 18)。
• 安全认证，例如ISO 27001或SOC 2。

3.持续监控关键的第四方供应商

通过将所有关键的第四方供应商单独分组并将新的第四方供应商发现嵌入到尽职调查过程中，第四方风险管理计划的基础已经奠定。现在，重点是通过监控关键的第四方供应商是否存在新出现的安全风险来确保您的辛勤工作不会白费。

持续监控是此风险管理生命周期的第三阶段，导致提高第四方安全风险弹性的周期性努力。

通过风险评估对监测工作中新发现的风险进行更详细的审查，为设计有针对性的补救措施提供信息。然后监控这些补救措施的有效性以及新风险的出现，并继续循环。随着周期的每一次转折，第四方风险管理程序变得更加优化，并且能够更好地发现、补救和管理第四方风险。

由于您的风险管理团队与第四方供应商之间没有明确的沟通渠道，因此监控第四方攻击面不应该只落在您的肩上。应鼓励您的第三方供应商通过实施具有攻击面监控功能的 VRM 程序来承担其供应商风险。

在相信您的供应商会有效地监控他们的第三方供应商之前，首先必须确认两件事：

• 他们有一个供应商风险管理计划。
• 该 VRM 程序能够有效监控新兴的第三方网络安全风险。

这两个查询都可以通过供应商风险评估来确认。如果您的供应商尚未解决其第三方的潜在风险，是向他们推荐的绝佳解决方案。

您应该监控的第四方风险类型

需要监控的一些常见第四方风险包括：

1. 数据泄露和数据泄漏：未经授权访问敏感数据可能会给您的组织带来重大的财务、法律和声誉后果。数据泄露是需要监控的重要攻击媒介，因为它们会加快数据泄露过程。
2. 访问控制不足：管理不善的访问控制可能会将您组织的数据暴露给未经授权的用户，从而增加数据泄露的可能性。
3. 加密和安全措施不足：安全措施薄弱或过时会使网络犯罪分子更容易访问敏感信息。
4. 不遵守法规：不遵守适用的法规，例如 GDPR 或 HIPAA，可能会导致罚款、罚款和声誉受损。
5. 软件漏洞和过时的系统：未修补的漏洞和过时的系统会使您的组织面临各种网络安全威胁。
6. 内部威胁和人为错误：内部威胁，无论是有意还是无意，都可能危及组织数据和系统的安全。