为什么评估第三方的安全风险仍然是一个悬而未决的问题

《福布斯》杂志日前发布了一篇关于美国最安全的网络公司的报告，表明网络安全对于企业来说日益重要。

第一部分：在网络安全方面最安全的公司有哪些?

报告列出了在网络安全方面最安全的全球公司，以下是入选名单：

顶级公司：谷歌、苹果、微软、亚马逊

第二梯队：美国银行、高盛、富达、CapitalOne、Meta、LinkedIn、美国联合航空公司、Akamai、Cloudflare、Fastly

这份清单并不全面。这也让安全行业专家考虑还有哪些公司，其评估的标准是，“拥有大量的数据，或大规模的系统控制，并能保护这些数据安全。”

第二部分：第三方风险管理的问题

《福布斯》杂志将美国联合航空公司和富达公司列入前20名。安全行业专家推荐的其他金融服务公司大多在前100名，但没有一家基础设施公司上榜。有趣的是，这份报告认同这一观点，即美国联合航空公司在业内遥遥领先。美联航的首席信息安全官Deneen DeFiore在网络安全方面的工作一定很出色。

这份榜单由第三方风险管理(TPRM)行业的旗舰公司之一SecurityScorecard公司提供。第三方风险管理公司面临的挑战是：为与其他企业有业务往来的企业提供一种机制，从网络安全的角度来评估供应商给他们带来的风险。SecurityScorecard公司和它的主要竞争对手BitSight公司使用了类似的方法：创建风险评分(有点像信用评分)，评估企业，然后给它们打分。

这听起来很简单，对吧? 但并不是这么简单。想象一下，如果信用报告机构决定开始使用信用评分算法来评估大型企业的网络安全性。他们当然会看起来很糟糕!想想谷歌公司的边界(所有公开可见的IP地址)与英特尔公司(在福布斯榜单上排名第一)的规模。英特尔公司是全球主要的芯片制造商，安全专家希望这些公司的外部足迹很小，但并不知道他们的网络安全实践，希望他们不要把重点放在网站安全(这对他们的评级有影响)上，而是放在他们的产品和制造安全(这对他们的评级没有影响)上。另一方面，谷歌公司作为互联网主要公司之一，他们的可寻址IP空间是世界上最大的IP空间之一，所以从外部看，他们的网络安全态势当然看起来很糟糕，特别是如果衡量标准之一是攻击面的大小。

无论好坏，信用报告机构比TPRM评分机构拥有更多的数据。它们根植于金融系统，收集了很多不应该公开的信息。另一方面，TPRM评分机构做的是类似于驾车评估的工作。他们在互联网上看企业的外部安全，并根据企业形象来决定他们的信誉。当然，某些业务类型看起来比其他业务更安全。

遗憾的是，TPRM评分的替代方案是TPRM问卷调查行业，它的帮助微乎其微。这是一个专注于向供应商发送大量调查问卷的行业，收集这些问卷需要付出巨大的努力。然后，专门的团队会审查答案，寻找任何看起来是否定的答案来跟进(所有成熟的供应商现在都知道永远不要对任何问题说“不”)。现在该行业都专注于简化这些问卷的填写。

TPRM评分问题尚未得到解决。企业确实需要了解他们从供应商那里继承的实际风险，包括内在风险(供应商给企业带来的风险)和使用风险(使用供应商的方式造成的风险)。不幸的是，无论是评分还是问卷调查都无法解决这个问题。