为什么评估第三方的安全风险仍然是一个悬而未决的问题

《福布斯》杂志日前发布了一篇关于美国最安全的网络公司的报告，表明网络安全对于企业来说日益重要。

报告列出了在网络安全方面最安全的全球公司，以下是入选名单：

顶级公司：谷歌、苹果、微软、亚马逊

第二梯队：美国银行、高盛、富达、CapitalOne、Meta、LinkedIn、美国联合航空公司、Akamai、Cloudflare、Fastly

这份清单并不全面。这也让安全行业专家考虑还有哪些公司，其评估的标准是，“拥有大量的数据，或大规模的系统控制，并能保护这些数据安全。”

《福布斯》杂志将美国联合航空公司和富达公司列入前20名。安全行业专家推荐的其他金融服务公司大多在前100名，但没有一家基础设施公司上榜。有趣的是，这份报告认同这一观点，即美国联合航空公司在业内遥遥领先。美联航的首席信息安全官Deneen DeFiore在网络安全方面的工作一定很出色。

这份榜单由第三方风险管理(TPRM)行业的旗舰公司之一SecurityScorecard公司提供。第三方风险管理公司面临的挑战是：为与其他企业有业务往来的企业提供一种机制，从网络安全的角度来评估供应商给他们带来的风险。SecurityScorecard公司和它的主要竞争对手BitSight公司使用了类似的方法：创建风险评分(有点像信用评分)，评估企业，然后给它们打分。

这听起来很简单，对吧? 但并不是这么简单。

想象一下，如果信用报告机构决定开始使用信用评分算法来评估大型企业的网络安全性。他们当然会看起来很糟糕!想想谷歌公司的边界(所有公开可见的IP地址)与英特尔公司(在福布斯榜单上排名第一)的规模。英特尔公司是全球主要的芯片制造商，安全专家希望这些公司的外部足迹很小，但并不知道他们的网络安全实践，希望他们不要把重点放在网站安全(这对他们的评级有影响)上，而是放在他们的产品和制造安全(这对他们的评级没有影响)上。

另一方面，谷歌公司作为互联网主要公司之一，他们的可寻址IP空间是世界上最大的IP空间之一，所以从外部看，他们的网络安全态势当然看起来很糟糕，特别是如果衡量标准之一是攻击面的大小。

无论好坏，信用报告机构比TPRM评分机构拥有