第三方用户遵循安全最佳实践和策略吗?

全球各地的组织缺乏有效管理第三方用户的访问,使其暴露于显着的漏洞,违规行为和其他安全风险 一个身份 reveals.

第三方用户安全

大多数组织授予第三方用户访问其网络

基于A. 维度研究 - 对1000多名IT安全专业人员的调查,研究评估了组织对身份和访问管理的方法( 我是 )和特权访问管理(PAM),包括如何向第三方用户 - 从供应商和合作伙伴申请承包商和季节性工人。

在调查中,最值得注意的调查结果是,虽然94%的组织授予第三方用户访问他们的网络,但61%的人承认他们不确定是否试图或成功访问的文件或数据不授权访问。

依靠第三方

根据Gartner的说法,与三年前相比,今天的大多数组织依赖于越来越多的商业服务的第三方。

通过扩展的用户群,获得对组织网络的访问来扩展 网络安全风险地面,并且企业承担适当的步骤,以适当的步骤管理和管理第三方用户及其管理的权限以及管理内部用户的方式。

然而,调查显示,许多组织没有实施强大的用户治理和访问做法,让他们容易受到网络妥协的影响。

“现实是,大多数公司的安全和合规计划未能获得在地平线上看到的高度,并获得公开其供应商和合作伙伴的活动的视线。最近 报告 通过Esentire对供应链风险,近一半(44%)的公司经历了一项重要的业务改变由供应商造成的数据泄露。更糟糕的是,只有15%的公司报告说,他们的供应商在发生违规时通知他们。人为错误和被盗密码占违规的26%,而恶意软件在一半的攻击中发挥了关键作用。在近250家经历违约的公司中,受到32%的受损个人可识别数据,包括支付信息29%,以及24%的暴露专有业务数据,”Mark Sangster,VP和行业安全战略家Esentire表示。

第三方用户访问公司网络是普遍存在的

  • 百分之九十四名受访者表示,第三方访问其网络; 72%给予第三方特权(行政或超级用户)访问。
  • 只有22%的人知道他们的第三方用户没有尝试访问或成功访问未经授权的信息。
  • 近五分之一(18%)报告第三方已试图或成功访问未经授权的信息;如果发生这种情况,五分之三(61%)不知道某些情况。

无效的第三方用户生命周期管理实践普遍存在

  • 只有21%的组织立即取消(或撤销访问)第三方用户,他们为公司的工作停止。
  • 三分之一(33%)组织需要超过24小时到DEPROVION第三方用户或没有一致的取消过程。

组织缺乏对第三方用户的信心

  • 只有15%的人非常有信心他们的第三方遵循访问管理规则,例如不分享账户和确保 密码强度.
  • 四分之一(25%)怀疑第三方不遵守规则或确认他们没有。
  • 然而,45%的受访者信任第三方用户的数额或更多,而不是他们自己的员工遵循其组织的安全政策。

大多数有风险的行业

  • 近三分之三(28%)零售组织承认第三方用户已成功访问或试图访问它们未被授权访问的文件或数据。
  • 五分之一(20%)金融服务组织,17%的技术组织,14% 医疗组织 经历过同样的经历。
  • 来自零售组织的四分之一(25%)的受访者表示,他们为其所有三方用户提供了所有或大部分的特权访问。相比之下,18%的技术组织,只有10%的医疗组织,只有10%的制造机构,也是如此。

“公司正在追随供应商的绩效和活动。紧密的合同控制可以帮助,但在公共安全事件的情况下,它是在供应链中面向公开的公司,最终会遭受后果。看着第三方风险的维度研究,对我来说最令人担忧的含义是答案的概念,如“可能不是,但我们无法确定”或“我不知道”。我是隐私法的世界,合规规则和安全问责制正融合以形成一个venn图,以前所未有的重叠,并且没有希望的洞穴响应的空间。这是一个二进制世界 - 是或否。你要么有你的供应商,你要么怜悯,” Sangster concluded.

为了使组织防止由于未经授权的第三方用户访问而成为违约的下一个受害者,正如突出的最近违规行为所发生的那样,围绕特权访问管理(PAM)和身份治理和管理(IGA)建立了强大的安全姿势是至关重要的。

许多公司在管理第三方用户时努力实现一些最基本的PAM和IAM实践,例如立即取消用户和确保正在遵循管理访问(例如不共享帐户和凭据)的规则。

分享这个