第四方風險管理是識別、評估和減輕由您的第三方供應商（您的供應商的供應商）的供應商構成的網絡安全風險的過程。隨著數字化轉型壓縮 IT 生態系統之間的界限，如果您的任何供應商受到威脅，他們都可能從值得信賴的供應商轉變為關鍵數據泄露攻擊媒介。

雖然管理第三方安全風險的重要性現已 在網絡安全行業得到廣泛認可，但很少有組織會考慮第四方風險的影響。這篇文章概述了實施第四方風險管理程序的框架，以保護您的數據免受這個被忽視的攻擊面區域的影響。

為什么第四方風險管理很重要？

第四方風險管理很重要，因為受損的第四方供應商可能導致您的組織遭受數據泄露。要了解使這些事件成為可能的途徑，請考慮您的公司與在線交易處理器合作的場景。反過來，該平臺可能會將其所有信用卡處理外包給自己的第三方（您的第四方）。

如果此信用卡處理器沒有足夠的安全措施，網絡犯罪分子可能會利用它們，導致交易處理器的敏感數據也被泄露。由于您的企業還與交易處理器共享敏感的內部信息以支持其服務，??因此當它們受到損害時，您的企業也會遭到破壞。數字化轉型具有將攻擊面與每個已建立的供應商關系相結合的不良且不可避免的影響?，F在，不僅您的第三方供應商的漏洞會影響您的安全態勢，您的第四方風險也會在影響您的風險偏好方面發揮關鍵作用。

第三方風險管理與第四方風險管理的區別

第三方風險管理側重于您的直接供應商帶來的安全風險，而第四方風險管理則將這種審查擴展到供應商的合作伙伴。由于與您的第四方供應商缺乏直接業務關系，外部監控解決方案（例如攻擊面監控工具和供應商風險管理平臺）對于填補這些抵消關系造成的可見性差距至關重要。

實施 FPRM 的三支柱框架

重要的是要了解，與 TPRM 一樣，FPRM 不是一項獨立的網絡安全計劃。它。應與您現有的網絡安全計劃無縫集成。要了解這些集成應該如何工作，請參閱這篇文章。遵循此框架來擴展您的網絡安全計劃以包括第四方風險管理。

1.確定所有關鍵的第四方供應商

由于一般組織與11 家第三方供應商合作，映射您在該網絡中的敏感數據流是一項相當大的工作。但是當你進一步放大并考慮從每個第三方節點分支出來的第四方網絡時，這個過程就變成了邏輯上的噩夢。

值得慶幸的是，第四方風險管理計劃并不要求對所有第四方進行同等監控。以高效第三方風險管理程序為特征的優先級排序原則也適用于 FPRM。在第三方風險管理計劃（也稱為供應商風險管理計劃）中，供應商是分層的，以便關鍵供應商——那些處理更高程度敏感數據的供應商——在風險緩解工作中優先考慮。

建立 FPRM 的第一步是確定所有關鍵的第四方。關鍵性不一定僅由正在處理的敏感數據的程度決定——盡管這應該是一個主要的決定指標。如果供應商自己的供應商因網絡攻擊或任何其他業務中斷而被迫下線，關鍵性也會受到對您的業務運營的潛在影響程度的影響。

確定您的關鍵供應商仍然是一個需要克服的相當大的障礙。最簡單的方法是詢問那些比你更了解你的第四方的人——你的第三方供應商。風險評估或安全問卷是理想的使用工具。由于不存在行業標準的第四方風險調查問卷，因此您可以通過為此目的定制設計安全調查問卷來更準確地反映每個第四方關系。自定義問卷生成器，允許風險管理團隊自定義現有的監管標準問卷或從空白畫布構??建完全定制的設計。

以下是一些可以幫助您衡量每個第四方供應商的重要性的問題：

1. 供應商對您向我公司提供您承諾的產品/服務的能力是否至關重要？
2. 遭受中斷的供應商是否會啟動您的業務連續性計劃？
3. 服務提供商是否有權訪問我的任何敏感數據？如果是這樣，與他們共享什么類型的數據，這種訪問的原因是什么？
4. 如果供應商受到威脅，有哪些安全措施可以保護我的敏感數據？
5. 供應商的服務可用性是否取決于您遵守任何數據安全法規（例如GDPR）的能力？

對這些問題的回答將使您能夠按關鍵程度對第四方供應商進行分級，從而輕松識別在監控工作中需要優先考慮的實體。如前所述，您對分層策略的選擇取決于您獨特的信息安全要求。如果您不確定使用哪個指標來通知此結構，您可以使用的客觀且廣泛采用的安全狀況指標是安全評級。

盡管定制的安全調查問卷可以幫助您了解大部分關鍵的第四方供應商，但由于不準確或不完整的回答，仍然存在一些被忽視的風險。為了填補這些空白，應將攻擊面監控解決方案與安全問卷結合使用。

供應商風險管理平臺， 會自動發現您網絡中的所有第四方供應商，幫助您跟蹤在此階段被查詢的所有第四方。在建立第四方關系基線后，可以在您了解更多第四方供應商時添加它們，以簡化向前推進的第四方供應商映射工作。

當單獨使用時間點評估（例如安全問卷）時，被忽視的攻擊媒介的風險總是很普遍。這就是為什么最好的供應商風險管理平臺將風險評估和安全評級解決方案的增強標準化以生成實時安全態勢跟蹤的原因。

2. 將第四方風險管理納入您的盡職調查流程

在確定了您當前所有關鍵的第四方服務提供商之后，應將新的第四方供應商發現添加到盡職調查流程中，以簡化這項工作。此過程應涉及查詢每個新供應商的第三方和分包商的自定義評估。以下是一些可幫助您在盡職調查階段評估第四方供應商風險的問題：

• 您與第三方服務提供商和承包商有任何合同嗎？
• 這些實體是否可以訪問您的數據？
• 所有被訪問數據的敏感度是多少？
• 您的任何第三方合同是否會在海外處理數據？
• 所有外包數據處理的敏感度是多少？
• 您對每份第三方合同都進行了哪些盡職調查？
• 您從第三方關系中發現了哪些集中風險，發現這些風險的過程是怎樣的？
• 這些風險中有多少得到了補救？
• 您如何衡量每項補救措施的成功與否？

一些可用于評估第四方供應商安全狀況的安全風險評估包括：

• 供應商安全調查問卷。
• 滲透測試。
• 安全審計。
• 合規評估。?
• 鑒證業務標準聲明 (SSAE 18)。
• 安全認證，例如ISO 27001或SOC 2。

3.持續監控關鍵的第四方供應商

通過將所有關鍵的第四方供應商單獨分組并將新的第四方供應商發現嵌入到盡職調查過程中，第四方風險管理計劃的基礎已經奠定。現在，重點是通過監控關鍵的第四方供應商是否存在新出現的安全風險來確保您的辛勤工作不會白費。

持續監控是此風險管理生命周期的第三階段，導致提高第四方安全風險彈性的周期性努力。

通過風險評估對監測工作中新發現的風險進行更詳細的審查，為設計有針對性的補救措施提供信息。然后監控這些補救措施的有效性以及新風險的出現，并繼續循環。隨著周期的每一次轉折，第四方風險管理程序變得更加優化，并且能夠更好地發現、補救和管理第四方風險。

由于您的風險管理團隊與第四方供應商之間沒有明確的溝通渠道，因此監控第四方攻擊面不應該只落在您的肩上。應鼓勵您的第三方供應商通過實施具有攻擊面監控功能的 VRM 程序來承擔其供應商風險。

在相信您的供應商會有效地監控他們的第三方供應商之前，首先必須確認兩件事：

• 他們有一個供應商風險管理計劃。
• 該 VRM 程序能夠有效監控新興的第三方網絡安全風險。

這兩個查詢都可以通過供應商風險評估來確認。如果您的供應商尚未解決其第三方的潛在風險，是向他們推薦的絕佳解決方案。

您應該監控的第四方風險類型

需要監控的一些常見第四方風險包括：

1. 數據泄露和數據泄漏：未經授權訪問敏感數據可能會給您的組織帶來重大的財務、法律和聲譽后果。數據泄露是需要監控的重要攻擊媒介，因為它們會加快數據泄露過程。
2. 訪問控制不足：管理不善的訪問控制可能會將您組織的數據暴露給未經授權的用戶，從而增加數據泄露的可能性。
3. 加密和安全措施不足：安全措施薄弱或過時會使網絡犯罪分子更容易訪問敏感信息。
4. 不遵守法規：不遵守適用的法規，例如 GDPR 或 HIPAA，可能會導致罰款、罰款和聲譽受損。
5. 軟件漏洞和過時的系統：未修補的漏洞和過時的系統會使您的組織面臨各種網絡安全威脅。
6. 內部威脅和人為錯誤：內部威脅，無論是有意還是無意，都可能危及組織數據和系統的安全。