چرا گروه‌های ثالث بزرگترین نقطه خطر یک سازمان هستند؟

عدم ایمنی فروشندگان شخص ثالث

به طور میانگین سازمان‌ها از محصولات ۲۵۰ تا ۵۰۰ فروشنده شخص ثالث استفاده می‌کنند. بنابراین جای تعجب نیست که این مسیر حمله بیشترین بازده را برای هکرها دارد. با این وجود بسیاری از کسب‌وکارها همچنان مخاطرات اشخاص ثالث را جدی نگرفته و آن را یک خطر امنیتی واقعی تلقی نمی‌کنند.

در این مطلب از فراست تعدادی از مواردی را مورد بررسی قرار می‌دهیم که دلالت بر مخاطره‌آمیز بودن همکاری با اشخاص ثالث داردند.

  • اشخاص ثالث نامرئی هستند

اگرچه اشخاص ثالث از جنبه فنی نامرئی نیستند اما سازمان‌ها نظارت محدودی بر روی آنها دارند. حدود ۶۰ درصد از سازمان‌ها دید چندان زیادی نسبت به مجوزهای دسترسی اشخاص ثالث به سیستم‌های حیاتی خودشان نداشته و نیمی از سازمان‌ها نیز حتی نمی‌دانند که چه تعداد اشخاص ثالثی به سیستم‌های آنها دسترسی دارند.  فعالیت اشخاص ثالث همچنین به صورت منظم تحت نظارت قرار نمی‌گیرد. در نتیجه برای اقداماتی که در حین دسترسی به اطلاعات و سیستم‌های حیاتی انجام می‌دهند، مسئول دانسته نمی‌شوند.

  • کنترل اشخاص ثالث آسان نیست

کسب‌وکارها معمولاً می‌توانند برای کارمندانی که به داده‌ها، برنامه‌های کاربردی و سیستم‌های حیاتی دسترسی دارند کنترل دسترسی مبتنی بر نقش را پیاده‌سازی کنند. همگام‌سازی کاربران عموماً از طریق یک سیستم اکتیودایرکتوری یا منابع انسانی صورت می‌گیرد که قابلیت اتوماسیون و روان‌سازی فرایند اعطای دسترسی به سیستم‌های مورد نیاز را دارد. فروشندگان شخص ثالث کارمند نیستند و در سیستم‌های داخلی قرار ندارند. در نتیجه مدیریت آنها سخت‌تر است. باید با دسترسی‌های آنها رفتاری متفاوت و دقیق‌تر داشت چون احتمال ایجاد تهدیدات خارجی را به وجود می‌آورند. در صورت عدم ایجاد کنترل‌هایی که بر اساس اصل اعتماد صفر پیاده‌سازی شده باشند، نظارتی بر روی اشخاص ثالث در سیستم‌ها وجود نخواهد داشت.کنترل اشخاص ثالث آسان نیست

  • بی‌توجهی به قوانین

به طور میانگین حدود نیمی از سازمان‌ها باور ندارند که اشخاص ثالث آنها از قوانین گزارش رخنه اطلاعاتی در صنعت خودشان آگاه هستند. حدود ۶۰ درصد نیز به عملکرد اشخاص ثالث برای پیروی از قوانین حریم خصوصی و امنیت مرتبط با سازمان خودشان امتیاز کمی می‌دهند. در حوزه بهداشت و درمان، مقرراتی مثل HIPAA وجود دارند که بر اساس این قوانین اشخاص ثالث مسئول نقض مقررات هستند اما تا زمانی که قوانین مشابهی برای سایر صنایع پیاده‌سازی و اجرا نشود، اشخاص ثالث همچنان یک تهدید قانونی و امنیتی مهم برای کسب‌وکارها خواهند بود.

  • ضعف در مدیریت اشخاص ثالث

حدود ۷۰ درصد از شرکت‌کنندگان نظرسنجی اخیر Ponemon اعلام کرده‌اند که مدیریت مجوزها و دسترسی‌های راه دور اشخاص ثالث کار سختی است و منابع داخلی را تخلیه می‌کند. سازمان‌ها معمولاً نیرو یا ظرفیت لازم برای مدیریت اشخاص ثالث را ندارند تا یک تیم مدیریت ریسک کامل مخصوص رسیدگی به اشخاص ثالث راه‌اندازی کنند. بنابراین دسترسی‌های راه دور و مجوزهای اشخاص ثالث به خوبی مدیریت نشده یا حتی اصلاً مدیریت نمی‌گردد. سازمان‌ها برای حفظ امنیت شبکه و سیستم‌های خودشان متکی بر روی اعتبار اشخاص ثالث یا قراردادها هستند که البته این اقدام به تنهایی کافی نیست.

  • اشخاص ثالث دری به دنیای بیرون هستند

دسترسی اشخاص ثالث، دری برای ورود دیگران به سازمان و دسترسی به اطلاعات، شبکه‌ها و سیستم‌های حیاتی است.  سازمان‌ها معمولاً بر اساس معماری قلعه و خندق ساخته شده‌اند که از آنها در برابر همه افراد خارجی حفاظت می‌کند. این سازوکار ظاهراً عملکرد مناسبی دارد اما در مقابل افرادی که داخل سازمان هستند چندان قوی نیست. بنابراین اگر هکری از دسترسی‌های یک شخص ثالث برای هک شرکت شما استفاده کند، به همه درها و دارایی‌های حیاتی که سعی در حفاظت از آنها دارید دسترسی خواهد داشت.

هکرها از دسترسی‌های راه دور شخص ثالث سوءاستفاده می‌کنند. اگر خطر شخص ثالث را جدی نگیرید، دیر یا زود سازمان شما هم باید با عواقب حملات سایبری مواجه شود. با پیاده‌سازی استراتژی‌های مدیریت دسترسی‌های حیاتی، رویکرد اعتماد صفر و توجه به واقعیت تهدیدات شخص ثالث می‌توانید برای مقابله با این مخاطرات آماده شوید.

اخبار امنیت اطلاعات را در فراست دنبال کنید.

منبع: bankinfosecurity

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.

0
سبد خرید
  • هیچ محصولی در سبدخرید نیست.