به طور متوسط، سازمان ها از محصولات 250 تا 500 تامین کننده شخص ثالث استفاده می کنند. بنابراین جای تعجب نیست که این روش حمله برای هکرها موثرتر باشد. با این حال، بسیاری از شرکت ها هنوز ریسک کشور ثالث را جدی نمی گیرند و آن را به عنوان یک خطر امنیتی واقعی نمی بینند.
در این مقاله فراست، به تعدادی از مواردی که نشان می دهد کار با اشخاص ثالث خطرناک است، نگاه می کنیم.
اشخاص ثالث نامرئی هستند
اگرچه اشخاص ثالث از نظر فنی نامرئی نیستند، اما کنترل محدودی بر سازمان ها دارند. حدود 60 درصد از سازمان ها در مورد اجازه دسترسی اشخاص ثالث به سیستم های حیاتی خود ایده چندانی ندارند و نیمی از سازمان ها حتی نمی دانند که چند شخص ثالث به سیستم های آنها دسترسی دارند. فعالیت های اشخاص ثالث نیز به طور منظم نظارت نمی شود. در نتیجه، آنها در قبال اقداماتی که هنگام دسترسی به اطلاعات و سیستم های حیاتی انجام می دهند، مسئولیتی ندارند.
کنترل اشخاص ثالث کار آسانی نیست
شرکت ها معمولاً می توانند کنترل دسترسی مبتنی بر نقش را برای کارکنانی که به داده ها، برنامه ها و سیستم های حیاتی دسترسی دارند اعمال کنند. همگام سازی کاربران معمولاً از طریق Active Directory یا سیستم HR انجام می شود که قابلیت خودکارسازی و ساده سازی فرآیند دسترسی به سیستم های لازم را دارد. تامین کنندگان شخص ثالث کارمند نیستند و در سیستم های داخلی تعبیه نشده اند. در نتیجه مدیریت آنها دشوارتر است. دسترسی آنها باید به گونه ای متفاوت و دقیق تر رفتار شود زیرا پتانسیل تهدیدهای خارجی را ایجاد می کند. اگر کنترلهای مبتنی بر اصل اطمینان صفر برقرار نشود، هیچ نظارتی توسط اشخاص ثالث در سیستمها وجود نخواهد داشت.
نادیده گرفتن قوانین
به طور متوسط، حدود نیمی از سازمان ها معتقد نیستند که کشورهای ثالث آنها از قوانین گزارش تخلفات اطلاعاتی در صنعت خود آگاه هستند. حدود 60 درصد نیز اثربخشی اشخاص ثالث را در رعایت قوانین حریم خصوصی و امنیت سازمان خود ارزیابی می کنند. در حوزه سلامت، مقرراتی مانند HIPAA وجود دارد که اشخاص ثالث را مسئول تخلفات می کند، اما تا زمانی که مقررات مشابه در سایر صنایع اعمال نشود، کشورهای ثالث همچنان یک تهدید حقوقی قابل توجه و تهدیدی برای امنیت کسب و کار خواهند بود.
نقاط ضعف در حکمرانی کشور ثالث
حدود 70 درصد از پاسخ دهندگان در نظرسنجی اخیر Ponemon می گویند که مدیریت مجوزهای شخص ثالث و دسترسی از راه دور کار سختی است و منابع داخلی را تخلیه می کند. سازمان ها معمولاً نیروی انسانی یا ظرفیت لازم برای مدیریت اشخاص ثالث برای راه اندازی یک تیم مدیریت ریسک کامل برای همکاری با اشخاص ثالث را ندارند. بنابراین، دسترسی از راه دور و مجوزهای شخص ثالث به خوبی مدیریت نمی شوند یا حتی اصلاً مدیریت نمی شوند. سازمان ها برای حفظ امنیت شبکه ها و سیستم های خود به اختیار اشخاص ثالث یا قراردادها متکی هستند، اما این به تنهایی کافی نیست.
کشورهای ثالث دری به دنیای خارج هستند
دسترسی شخص ثالث دروازه ورود دیگران به سازمان و دسترسی به اطلاعات، شبکه ها و سیستم های حیاتی است. سازمانها معمولاً بر اساس معماری قلعهها و خندقها ساخته میشوند که از آنها در برابر همه افراد خارجی محافظت میکند. به نظر می رسد این سازوکار خوب عمل می کند، اما در برابر افراد سازمان چندان قوی نیست. بنابراین اگر یک هکر از دسترسی شخص ثالث برای هک شرکت شما استفاده کند، به تمام درها و دارایی های حیاتی شما دسترسی خواهد داشت.
هکرها از دسترسی از راه دور شخص ثالث استفاده می کنند. اگر ریسک اشخاص ثالث را جدی نگیرید، دیر یا زود سازمان شما باید با عواقب حملات سایبری روبرو شود. با به کارگیری استراتژی های مدیریت دسترسی حیاتی، رویکرد اعتماد صفر و توجه به واقعیت تهدیدات شخص ثالث، می توانید برای این خطرات آماده شوید.
اخبار امنیت اطلاعات را در فراست دنبال کنید.
منبع: bankinfosecurity