第三方要么是安全團隊的最佳小伙伴，要么是最令人頭痛的敵方小伙伴

第三方小伙伴數(shù)目龐大類型眾多，要鑒別出他們是否擁有合適的基礎(chǔ)設(shè)施或安全協(xié)議很是令人頭痛。而且，對第三方做強大的盡職調(diào)查有可能耗費大量時間和金錢。

由于太多的公司企業(yè)依賴各種不同的供應(yīng)商，第三方很有可能成為進入網(wǎng)絡(luò)的門戶。為減少由第三方帶來的安全風(fēng)險，企業(yè)需要設(shè)計出審查過程，理解服務(wù)水平協(xié)議(SLA)用語，對他們的合同進行最佳評估。

沒有哪家云服務(wù)提供商為安全擬定SLA的。正常運行時間，可見性這些倒是都有SLA，唯獨安全沒有。大多數(shù)提供商稱自己為數(shù)據(jù)泄露設(shè)了某個響應(yīng)時限，或者一旦發(fā)現(xiàn)此類漏洞會在一定時間內(nèi)通知客戶。

但問題在于，安全是不可見的，只有出事了才會切實感受到。如果企業(yè)清楚一旦事情不對他們將會失去什么，他們就可以在問題形成前讓安全更可感知。

他們得對自身最有價值數(shù)據(jù)資產(chǎn)進行妥善處理。

如果這些信息被泄露、被盜、被勒索，將會有什么后果？用戶到底能訪問哪些資源？他們可以拷貝或刪除的是哪些東西？——弄清這些問題可以讓企業(yè)清晰理解那些信息在公司內(nèi)外的流向。應(yīng)不應(yīng)該信任第三方，是要拿出路線圖來證明的。

很多公司企業(yè)都想要向云端遷移，但對供應(yīng)商將帶給他們的東西，以及需要包含何種安全，卻沒有一個完整的認知。他們需要了解自己在向誰敞開訪問大門，需要意識到管控這種訪問的規(guī)則和制度。

帶來更大風(fēng)險和提供更高保障的第三方之間有一條分界線，那就是第三方實現(xiàn)的防護措施和策略。

有些防護措施可被稱為是最低水平的。遵循風(fēng)險管理框架提供了某種程度上的保障，比如達到了某種標(biāo)準(zhǔn)，有正確的策略，對人員進行培訓(xùn)等。他們有保護自身數(shù)據(jù)的意識的能力，也在此類控制上有某些認證或驗證。

真正引領(lǐng)風(fēng)向的企業(yè)，是那些處于嚴格監(jiān)管環(huán)境中的企業(yè)，但其他產(chǎn)業(yè)并沒有那種要求對第三方強力監(jiān)管的環(huán)境。因此，這些其他產(chǎn)業(yè)的企業(yè)便想要強調(diào)怎樣信任他們的第三方提供商。

而廠商，則想要突出自己作為值得信賴的行業(yè)領(lǐng)導(dǎo)者的地位。但是，如果安全一開始便沒有嵌入進來，廠商真的注重設(shè)計可信系統(tǒng)嗎？

思科全球價值鏈?zhǔn)紫踩僬J為，從端到端的角度設(shè)計架構(gòu)需要考慮很多方面。“我的價值鏈中有什么？”是一個能驅(qū)動設(shè)計與開發(fā)、計劃、采購模式、品質(zhì)、交付、可持續(xù)性和產(chǎn)品末期的問題。

服務(wù)提供商需要以分層的模式思考，因為安全是一個過程，也是一種承諾。大多數(shù)產(chǎn)品都是多家云提供商組成的生態(tài)系統(tǒng)，采用幾家到十幾家其他公司來將功能整合推出。

轉(zhuǎn)向第三方廠商并不能改變企業(yè)可能會被非法取得網(wǎng)絡(luò)控制權(quán)的外部人士操縱的風(fēng)險。認識到來自工業(yè)和民族國家的惡意行為人所帶來的風(fēng)險能造成物理或數(shù)字崩壞乃至更深遠的破壞，服務(wù)提供商們有責(zé)任充分優(yōu)化并部署商業(yè)模式。

一個清晰的架構(gòu)要覆蓋所有同類領(lǐng)域，包括安全域、監(jiān)管安全、操作和資產(chǎn)管理安全、事件管理安全、服務(wù)管理安全、物流和存儲安全、物理環(huán)境安全，以及人事安全。

即使對已經(jīng)以層次化和基于價值的方式思考的提供商而言，人事安全依然是較為薄弱的一環(huán)。很多雇員都是渾然不覺之中踏進了數(shù)據(jù)泄露地獄的，人為錯誤是絕大多數(shù)安全事件的根本原因。

而涉及到某些服務(wù)的時候，公司數(shù)據(jù)有太多不同的方面由于根本不清楚有那么些數(shù)據(jù)的存在而沒有被公司追蹤。任何服務(wù)都有可能外包出去，那正是風(fēng)險的來源之一。

大部分時候，令人震驚的數(shù)據(jù)泄露都是由于疏于大意引起的。比如說，某家很多人都認為很安全的大銀行，引入第三方安全新ATM網(wǎng)絡(luò)的時候就出了簍子。中標(biāo)供應(yīng)商的一位承包商在不知情的情況下備份了他的整臺筆記本電腦，導(dǎo)致他手里掌握的有關(guān)那家銀行的所有保密信息都泄露了出去。

服務(wù)供應(yīng)商數(shù)量可達20000家的大型企業(yè)便遭遇到了信息跟蹤的挑戰(zhàn)。這不僅僅是供應(yīng)鏈的問題。越來越多的服務(wù)以云的形式提供，越來越多的信息在企業(yè)邊界之外，企業(yè)正在喪失自身信息存儲的控制。

對理解了這一點的人而言，擁抱所有這些新技術(shù)并繼續(xù)勇敢外包是正確的做法，只是查驗廠商資質(zhì)，評估他們的安全情況，檢查外流數(shù)據(jù)。這是云環(huán)境下安全項目中新增的一環(huán)。

設(shè)計第三方廠商審核過程

大多數(shù)大型提供商不會在自己合同中擬訂數(shù)據(jù)泄露責(zé)任條款，但企業(yè)在做盡職審查挑選外部提供商時有必要問幾個相當(dāng)重要的問題。

“你們還用到了其他哪些人？我的數(shù)據(jù)還會流向哪里？其他服務(wù)能達到我希望的安全標(biāo)準(zhǔn)嗎？”不過，企業(yè)應(yīng)該時刻關(guān)注的仍然是他們把哪些東西放到了云里。合同會轉(zhuǎn)移風(fēng)險，但未必提供安全。

在第三方問題上沒有什么萬全之策，但企業(yè)有能力定義風(fēng)險值，并作出相應(yīng)的盡職調(diào)查。

企業(yè)應(yīng)該找尋的，是廠商安全實踐的成熟度，但將自己的安全期許與廠商充分溝通也是企業(yè)的責(zé)任。合同里應(yīng)有安全條款以備有據(jù)可循，畢竟恰當(dāng)?shù)目刂茮]有良好溝通，安全期望水平未告知提供商的案例屢見不鮮。