CyCognito委托Osterman Research进行调研的结果表明,相比没有子公司或子公司数量较少的企业,子公司数量众多的跨国企业更容易受到网络安全威胁,且更难以管理风险。
本研究的目标是拥有至少10家子公司和3000多名员工或201家年收入超过10亿美元的企业。
尽管约67%的受访者对其子公司风险管理的有效性充满信心,但他们的企业要么经历了包括子公司在内的攻击链的网络攻击,要么无法排除这种可能性。
大约一半的受访者承认,即使“明天”他们对数据泄露并不感到惊讶。这些受访者担任网络安全、合规或风险管理职位。每个受访企业都有员工全职监控子公司的风险。
Osterman Research高级分析师Michael Sampson表示:“我们希望了解企业面临的威胁和风险,不仅是刚刚收购或合并的子公司,而且是存在多年或更长时间的子公司。鉴于网络安全的挑战、风险和问题,即使公司目前的网络安全事件历史是无辜的,我也敢打赌,随着新漏洞的发现或突出,这种安全状态将继续下降。”
Sampson如果子公司不知道资产和数据源的暴露,或者选择向母公司隐瞒,这些漏洞将被忽视,并在未来发展成为一个重大问题。
子公司面临多重安全风险
研究报告强调,以牺牲安全为代价的合规性、复杂的并入过程、不常执行和冗长的风险管理过程、过度使用手动工具以及维修和测试结果之间的滞后是子公司风险管理的主要障碍。
报告称,宏观趋势和业务运营环境正在影响安全运营现实。例如,在子公司的主要问题上,69%的受访者提到了新冠肺炎疫情引发的数字转型,56%的受访者指出了近期全球频繁发生的重大供应链攻击。
Sampson称:“在我看来,我们将看到企业越来越重视网络安全,在过去的五年里,一些网络安全威胁已经广为人知。供应链勒索软件和商务电子邮件入侵(BEC)是最常见的两种。”
报告强调,企业更注重子公司风险监测的合规性而不是安全性,这在子公司合并和管理过程中留下了漏洞,导致了更多的攻击。
子公司合并本身就是一项复杂的任务,只有大约5%的受访者确认了新业务部门无缝整合的成熟过程,而其他受访者则抱怨母公司和子公司都承担着巨大的工作量。
受访者表示,目前实行的子公司管理操作太过稀少,某种意义上讲,由于收集的数据具有即时性,因此只能提供快照视图,很快就会过时。此外,大多数受访者认为,当前的流程不足以覆盖企业的潜在攻击面,留有漏洞,还经常会大量产生需费时费力处理的误报。
风险评估需要太长时间
另一个重要的考虑是评估与子公司相关的风险需要时间。目前,54%的受访企业平均需要一到三个月的时间进行风险评估,其中71%希望将风险评估时间缩短到一天以内。
受访者还指出了检测和修复安全漏洞之间的滞后。约73%的受访者表示,发现安全漏洞与修复安全漏洞之间存在一周到一个月的时差。这种滞后可能会导致非常危险的攻击机会。更糟糕的是,管理安全风险所需的大量工具只增加了总处理时间。
根据报告,与子公司数量较少的企业相比,子公司数量较多的企业花费一个月以上时间修复发现安全漏洞的可能性高50%。母公司管辖子公司不少于17家的受访者表示,子公司不止一次卷入网络攻击链的可能性是企业子公司数量较少的受访者的近两倍。
网络安全公司CyCognito创始人兼首席执行官Rob Gurzeev称:“子公司风险管理面临的挑战是,母公司和子公司可能分为不同的国家/地区,并可能使用完全不同的技术堆栈、流程、沟通方式和文化。如果我是企业甚至整个集团的首席安全官,我可能对这些其他企业的资产一无所知,即使我知道一些风险,我也缺乏相关的上下文。”
虽然20世纪90年代末的漏洞管理和渗透测试通常仅限于公司的几台接入互联网的服务器,但在过去的几十年里,云工作向成千上万的工程师、供应商、合作伙伴和第三方开放了系统框架。Gurzeev在已扩展的网络架构中加入子公司只会增加攻击面,需要更有效的应对措施。