CyCognito委托Osterman Research进行调研的结果表明,相比没有子公司或子公司数量较少的企业,子公司数量众多的跨国企业更容易受到网络安全威胁,且更难以管理风险。
这项调研的目标对象是至少拥有10家子公司和3000多名雇员或年收入在10亿美元以上的201家企业。
尽管对自家子公司风险管理的有效性极具信心,但约67%的受访者表示,其所在企业要么经历过攻击链包括子公司的网络攻击,要么无法排除这种可能性。
约半数受访者承认,即使“明天”就发生数据泄露,他们也毫不惊讶。这些受访者身居网络安全、合规或风险方面的管理职位。每家受访企业都有员工专职监测子公司风险。
Osterman Research高级分析师Michael Sampson表示:“我们希望了解企业面临的威胁和风险,不仅仅是企业刚刚收购或兼并的子公司,更重要的是那些已经存在多年或更长时间的子公司。而且鉴于网络安全挑战、风险和问题不断变化,即使公司当下的网络安全事件历史清白,我敢打赌,随着新漏洞的发现或凸显,这种安全状态会不断下滑。”
Sampson称,如果子公司不知道资产和数据源暴露情况,或者选择向母公司隐瞒此类情况,这些漏洞就会被忽视,并在以后发展成重大问题。
子公司面临多重安全风险
调研报告强调,以牺牲安全为代价的合规、复杂的并入流程、不常执行且冗长的风险管理过程、过度使用手动工具,以及修复与检测结果之间的滞后,这些都是子公司风险管理中的主要障碍。
报告称,宏观趋势和业务运营环境正在影响安全运营现实。例如,在子公司的首要问题方面,69%的受访者提到了新冠肺炎疫情引发的数字转型,56%的受访者则指向全球近期频频发生的重大供应链攻击事件。
Sampson称:“我认为,我们将看到企业越来越重视网络安全,而且过去五年中,一些网络安全威胁也已经广为人知了。供应链勒索软件和商务电邮入侵(BEC)就是其中最常见的两种。”
报告强调,企业更重视子公司风险监测中的合规方面而非安全方面,这就在子公司并入和管理过程中留下了漏洞,导致面临更多攻击。
子公司并入本身是一项复杂的任务,只有大约5%的受访者确认拥有无缝整合新业务部门的成熟流程,而其他受访者则抱怨,母公司和子公司两方面都背负着巨大的工作量。
受访者表示,目前实行的子公司管理操作太过稀少,某种意义上讲,由于收集的数据具有即时性,因此只能提供快照视图,很快就会过时。此外,大多数受访者认为,当前的流程不足以覆盖企业的潜在攻击面,留有漏洞,还经常会大量产生需费时费力处理的误报。
风险评估耗时太久
另一项重要考虑是子公司相关风险的评估耗时。目前,54%的受访企业平均花费一周到三个月的时间进行风险评估,其中71%想将风险评估时间缩短至一天以内。
受访者还指出了安全漏洞检测与修复之间的滞后问题。大约73%的受访者称,检出安全漏洞与修复安全漏洞之间存在一周到一个月的时间差。这种滞后可能造成十分危险的攻击机会。更糟的是,管理安全风险所需的大量工具不过是增加了总处理时间。
根据该报告,相比子公司数量较少的企业,拥有大量子公司的企业多花费一个月以上才能修复所检出安全漏洞的可能性要高50%。而所在母公司下辖子公司数量不少于17家的受访者,表示子公司不止一次卷入网络攻击链的可能性,比所在企业子公司数量较少的受访者高出近一倍。
网络安全公司CyCognito创始人兼首席执行官Rob Gurzeev称:“子公司风险管理面临的挑战是,母公司和子公司可能分处不同的国家/地区,可能使用完全不同的技术栈、流程、沟通方式和文化。如果我是企业甚至整个集团的首席安全官,我对这些其他企业的资产可能一无所知,进而即便我知晓了某种风险,我也缺乏着手应对的相关上下文。”
虽然上世纪90年代末的漏洞管理和渗透测试通常仅限于公司几台接入互联网的服务器,但过去几十年间的上云工作向成千上万的工程师、供应商、合作伙伴和第三方开放了系统框架。Gurzeev表示,在已延伸的网络架构中加入子公司只会增加攻击面,需要更加有效的应对措施。