【相輔相成】SecurityScorecard與edvance攜手合作 全面掌握第三方網絡安全風險威脅
越來越多企業依賴第三方供應商提供產品和服務,但當第三方存在網安漏洞,可能會直接對企業構成威脅。要保障自身網絡安全,就要做好第三方風險管理(Third Party Risk Management,TPRM)及外部攻擊面管理 (External Attack Surface Management,EASM)。全球著名網絡安全評級機構 SecurityScorecard 與本地解決方案分銷商 Edvance Technology(下稱 edvance)建立合作夥伴關係,客觀中立地評估各機構網安風險水平,助香港企業全面掌握自己及第三方供應商網絡安全狀況。
公司資料外洩事故 多由第三方機構引起
根據 SecurityScorecard 調查報告顯示,98% 依賴第三方供應鏈的企業曾經歷至少一次的資料外洩事件。企業若配有完善的 TPRM 策略,可以大大降低因第三方服務供應商而導致的網絡安全風險。SecurityScorecard 香港、中國及澳門區域總監林凱鴻(Mark)指出,資料外洩事故近年接二連三出現,但當中不少事故,是與他們合作的第三方機構出現網絡安全漏洞所引致。
要有效監控企業、其子公司及第三方公司的網安風險與漏洞問題,SecurityScorecard 利用非入侵式(non-intrusive)數碼足跡資料蒐集技術,透過全球性收集公開數據、網絡誘捕機制與整合威脅情報,加上 ThreatMarket 弱點搜尋引擎以及引入 ChatGPT4.0 的 AI 分析,SecurityScorecard 為企業製作「由外而內」的評估報告,提供 10 大風險類別分析評估,包括網絡、DNS、漏洞修補、端點等。SecurityScorecard 更會提供 Action Plan,列明後續改善工作讓企業參考。
Mark 解釋道,就如同大眾所用的 Google Search,客戶只需簡單輸入公司網域名稱,就可以即時得知與該網域相關的 IP 數量及上述資料,獲得其網絡安全評級,報告評分最高為 100 分,等級則有 A、B、C、D 及 F 五個級別。企業在計劃與第三方服務供應商合作前,可透過評級判斷對方是否為網絡安全的合作夥伴,在選擇要交付敏感資料數據的「Critical Partner」時,尤其重要。
為應對持續出現的網絡威脅,不少保險公司都有提供網絡保險,以減輕企業發生網絡保安事故後造成的損失,SecurityScorecard 在保險範疇中同樣擔當重要的角色。保險公司會在核保流程中將企業的網絡安全成熟度作為一個重要的考量因素,而 SecurityScorecard 為受保企業的評分正是影響保單保費及受保範圍,公司網絡環境健康固然會有優惠,若長期只得 D 或 F 級,保單有機會不獲審批。Mark 亦提到,傳統購買網絡保險前可能需要填寫二百多份問卷,回答大量問題,但透過 SecurityScorecard,保險公司及客戶則可以節省時間,加快投保過程。
SecurityScorecard具備公信力 獲評為領導者
身為全球著名的網絡安全評級機構,SecurityScorecard 的公信力無庸置疑,今年再獲 The Forrester Wave 評為 Cybersecurity Risk Ratings Platform(數碼安全風險評級平台)的領導者。目前已為超過 1,200 萬間企業提供網絡安全評級和網安風險分析服務,包括美國麥當勞、香港寬頻(HKBN)等,每 7 日掃描全球 IP 地址一次,每天即時監控網絡安全等級。
對於今次與分銷商 edvance 達成合作夥伴關係,Mark 指出 edvance 成立逾 20 年,一直專注於網絡安全範疇,尤其在金融服務業及政府界別表現突出,加上不少由其代理的品牌都是 Gartner 領導者,認為是次合作能互相發揮優勢。
而 edvance 產品管理高級總監何吰致(Adrian)表示,「主動預防」是未來的網安趨勢,比起事故發生後才進行檢討或補救,企業更需要提前了解風險。他指,坊間雖然有很多產品可以檢視內部威脅,但檢視外部威脅的第三方風險管理及評分產品卻比較少,加上 SecurityScorecard 在本地有完善的支援圑隊以及大型機構的使用實例,十分符合「積極主動」的原則。Adrian 認為與 SecurityScorecard 的合作能夠補足 edvance 的代理產品線,不論內外都為客戶提供最佳網絡防護。
部分NGO普遍評分較低 易成黑客目標
SecurityScorecard 近日亦聯同中國香港網絡安全協會,為本地慈善機構免費提供網絡安全評級報告。Mark 指香港監管機構基於自身法規要求約束,評級普遍都不錯,政府部門的評級則比較兩極,部分非牟利機構(NGO)的評級更只有 D 或 F 的水平,而 F 級被黑客攻擊的機會,更會比 A 級高出 13.8 倍,自然更容易成為黑客目標。
Mark 直言香港的網絡安全比較滯後,他期望透過與 edvance 合作,可以令更多香港企業關注第三方網絡風險管理,減少資料外洩事故發生,正如 SecurityScorecard 的理念「Make the world a safer place」一樣,為香港建構更安全的網絡環境。