纸牌屋：确保组织间的数字连接

　　每个公司都依赖于与其他组织的通信和接口，无论是法律服务或咨询等专业服务，还是构成其内部基础设施的授权软件产品。当然，为了有效合作，我们需要这些沟通渠道的开放。但它到底有多安全呢?

　　每当组织将工具与第三方集成时，它就会立即依赖于第三方的安全性。这可以像开放一个文件共享平台一样简单，让顾问可以在他们的工作笔记本电脑上访问，这样他们就可以更好地与你的内部团队合作。

　　当我们打开自己的环境时，我们暗中信任这些平台上的数据和文件，同时也将自己暴露在风险之中。例如，打开文件共享或消息传递平台意味着您通常无法控制可以上传或将要上传的信息。不过，通过恶意文件发送通常不是一个有意识的决定。恶意软件可能已经安装在您的合作伙伴或供应商的环境中，在以前的漏洞造成的松散的安全政策。

　　更进一步，公司通常依赖第三方管理他们自己的身份和访问管理系统，从而创建一个“联合”安全环境。这些系统的有效和及时更新是至关重要的，包括解雇任何离开公司的人。在您的软件供应链中破坏这些供应商可能会导致攻击者直接进入您的系统—找到旧的凭据和忘记的离开者是直接进入您的环境的免费通行证。

　　对于单个安全分析人员来说，跟踪整个分布式环境中的所有数据和访问是一项非常费力的任务。有效做到这一点的唯一方法是使用人工智能自动化安全分析和保护任务。在我们在更广泛的市场上提供这样的解决方案之前，与我们的合作伙伴和供应商密切合作至关重要。这意味着首席信息安全官(CISO)和安全团队应该参与我们的采购和采购讨论，努力减轻任何潜在风险，并确保安全政策之间的凝聚力。

　　否则，整个行业就有机会通过采用客观的“网络卫生”评分来缓和这些互动，在各组织之间提供一定程度的信任，因为它们的对手至少是以安全的方式建立起来的。我们可以从食品和饮料行业的标签做法中获得灵感，在这些做法中，成分、建议膳食摄入量和交通信号灯系统被用作通知决策的工具。在内部基础设施上进行这些类型的评估需要尽可能地自动化，否则跨行业的大规模部署可能会变得手动和艰巨。

　　这些额外的努力可能会让人感到不舒服或不方便，但它们对于确保二级风险得到适当保护很重要。这些都是威胁行为者每天使用的，以发动更复杂的攻击，最终使我们的基础设施看起来像一个“纸牌屋”。

　　现在的一点痛苦可以避免这些沉默的内部攻击者造成的大规模破坏和广泛的业务影响。