2016年5月，Soha第三方咨詢小組對200多名企業(yè)IT和安全高管、董事、經理進行了調查，意圖找出由于第三方訪問而導致的IT風險和日常挑戰(zhàn)。結果表明，98%的受訪者不認為第三方訪問是IT項目和預算分配的第一要務。

[[173535]]

絕大多數受訪者承認，提供第三方訪問是個復雜而又繁瑣的過程。為應用開辟安全第三方訪問通道的復雜程度，直接導致IT部門平均要處理4.6個設備，比如VPN、防火墻、目錄等等。從安全角度看，這已經構成了問題。有研究揭示，63%的數據泄露是由第三方造成，或與第三方有關。第三方廠商應該僅僅對支持業(yè)務必需的應用擁有訪問權，再多就不能給了。

基于調查結果，這個由安全專家、分析師和業(yè)界大拿組成的咨詢小組被問到了第三方訪問安全趨勢問題，比如IT從業(yè)者應該怎樣保障自身網絡安全，以及確保第三方訪問安全。

當前最主要的安全第三方訪問趨勢

當下兩大第三方訪問趨勢與不斷延伸的職場和越來越多的監(jiān)管要求有關。職場的延展帶來了外包比重的增加。隨著外包逐年增長，它呈現的問題——尤其是當今越來越多的安全威脅，給訪問需求和供應引入了一層新的復雜性和挑戰(zhàn)。

市場對許多IT驅動領域公司的需求，嚴重依賴于B2B(企業(yè)對企業(yè)的電子商務模式)訪問，不僅后端訪問需要，對應用的直接訪問也需要。云功能及其實現導致了這些市場需求的指數級增長。

對托管敏感數據(比如：與金融相關的個人身份識別信息，或健康信息)的公司企業(yè)的監(jiān)管要求也在增長。全球政府都在增加涉消費者信息處理或存儲的安全要求。

而今天最常見的訪問改善則存在于多因子身份驗證和策略領域，但最大的趨勢，還是與企業(yè)怎樣評估所有第三方的安全品質和表現有關。特別是，通過評估第三方管理其自身安全的能力，合作伙伴也就能更好地評估與允許訪問相關聯(lián)的風險了。

而從供應鏈合作伙伴的角度出發(fā)，很多企業(yè)如今已開始要求第三方安全合規(guī)。企業(yè)正部署能提供供應鏈合作伙伴安全態(tài)勢評估的解決方案。這些信息被用于評估廠商風險，觸發(fā)訪問決策。

安全第三方訪問態(tài)勢需安全從業(yè)人員關注

由于其多樣性，第三方訪問非常復雜。因此，只在絕對必要的時候，第三方才會被優(yōu)先考慮。

企業(yè)經常尋求通用解決方案。畢竟，第三方訪問范圍之廣，可從幾乎相當于雇員的合資伙伴，到警報監(jiān)控或僅偶爾連接一下的空調訪問提供商。

而且，IT和安全從業(yè)者也做不到準確有效的溝通，或者不知道涉第三方數據泄露會帶來的損失或風險。波耐蒙研究所《2015數據泄露損失研究全球分析》表明，企業(yè)內被泄露數據每條記錄的損失是217美元。而當有第三方涉入，該損失會上升至233美元每條。

了解并能夠量化損失，可幫助企業(yè)獲得更多預算以解決第三方訪問之類的問題。也應該明白，任何安全項目中一直以來都是最脆弱一環(huán)的口令，依然是訪問控制的最主要方式。盡管有多因子身份驗證系統(tǒng)可用，很多公司卻因為費用、復雜性和接受難度等問題而并沒有部署實現。

這一困難讓IT團隊只能轉向更簡單的方法，比如給第三方廠商提供與本公司雇員同等級的訪問權限等。雖然這種方法方式確實遵從了公司內部IT資源規(guī)程，但也給公司帶來了更大的未知的風險。

不過，第三方問題也可歸結到企業(yè)責任上來。廠商風險管理團隊依靠IT團隊來建議第三方訪問解決方案，而一套易用的解決方案顯然會獲得更大的采用可能。另外，解決方案提供商需要對用戶體驗多加注意，也要理解IT資源限制會給企業(yè)帶來不同的操作優(yōu)先級。

企業(yè)應怎樣應對安全第三方訪問

資產清單是經常被遺忘而又超級有用的安全挑戰(zhàn)及訪問情況概覽工具。持續(xù)補充完善資產清單并進行跟蹤，可以有效降低聯(lián)網資產不合規(guī)的風險。

確保第三方訪問安全依賴于用例。外部承包商、雇員和B2B實體應采用符合他們風險狀況的訪問控制，包括：隔離、加密、聯(lián)合集成。

很多企業(yè)現在已經著手實現對第三方廠商的安全策略了，比如：定義風險度量標準以客觀評估風險，設置固有風險(IR)計劃以解決合規(guī)偏差和風險，打造整個企業(yè)范圍的端到端安全和風險視圖。