Security Scorecard 近期發布的調查數據結果顯示，98% 的企業與曾發生過網絡安全事件的第三方機構有關聯。

從以往的安全事件案例來看，網絡攻擊的受害者可能需要數周甚至數月才會發現自身存在的漏洞問題，此后數周或數月內漏洞才可能會被公開披露。因此，數據泄密事件往往可能需要數月或更長的時間才會公之于眾。研究人員還發現，技術供應鏈漏洞使得威脅攻擊者能夠以最小的代價不斷擴大網絡攻擊的規模。

與網絡犯罪集團有關的第三方泄密事件

2023 年，臭名昭著的網絡犯罪集團 Cl0p 勒索軟件組織可能要對 64% 的第三方違規行為負責，其次是LockBit 勒索軟件組織的 7%。Cl0p 勒索軟件組織之所以取得如此大的”成功“，是因為其大規模利用了MOVEit 文件傳輸軟件中的零日漏洞

值得一提的是，在所有涉及特定漏洞的第三方違規安全事件中，有 77% 的安全事件涉及三個最廣泛利用的漏洞（MOVEit、CitrixBleed 和 Proself），其中 MOVEit 零日漏洞占據了 61%，MOVEit 漏洞影響廣泛的原因之一是其可能導致第三方、第四方甚至第五方都存在被入侵風險。

威脅攻擊者為何首先選擇常見的第三方攻擊載體？原因很簡單。第三方載體通常會使威脅攻擊者一次性入侵大量受害者，使其網絡攻擊活動具有更強的可擴展性。舉個簡單的例子，攻擊一個托管服務提供商（MSP）可以讓威脅攻擊者以相對最小的代價攻擊其數十甚至數百個客戶。

第三方攻擊載體

2023 年發生的所有網絡安全事件中，約有 29% 可歸因于第三方攻擊載體，鑒于許多關于漏洞的報告都沒有說明攻擊載體，這一數字很可能比實際比例低很多。（醫療保健和金融服務成為受第三方漏洞影響最嚴重的行業，醫療保健占漏洞總數的 35%，金融服務占 16%）

第三方關系的復雜生態系統可能揭示了為什么醫療保健行業會遭遇如此多的外泄事件，尤其是第三方外泄事件。不僅如此，醫療保健行業還有許多其他獨特的風險因素（醫療設備、用戶信息詳細），可能是導致其頻繁發生泄密事件的原因。在金融業，第三方泄密事件中技術關系占主導地位的情況也很明顯，其中大部分事件都歸因于專業的金融服務軟件或技術。

雖然第三方漏洞在全球范圍內很常見，但日本的比例明顯更高（48%），作為汽車、制造、技術和金融服務的中心，日本公司由于國際依賴性而面臨著巨大的供應鏈網絡風險。

SecurityScorecard 威脅研究與情報高級副總裁 Ryan Sherstobitoff 指出，供應商生態系統是勒索軟件組織非常”青睞“的目標，第三方漏洞受害者往往在收到勒索軟件說明后才意識到發生了安全事故，這就為威脅攻擊者攻擊其它公司留出了大把時間。

根據 Gartner 的數據，第三方網絡漏洞的成本通常比修復內部網絡安全漏洞的成本高出 40%，到 2023 年，數據泄露的平均成本將達到 445 萬美元，因此企業必須主動實施供應鏈網絡風險管理，以降低業務風險。

最后，SecurityScorecard 首席執行官 Aleksandr Yampolskiy 強調，企業必須通過在其數字和第三方生態系統中實施持續的、以指標為導向的、與業務相一致的網絡風險管理來提高復原力。

參考文章：https://www.helpnetsecurity.com/2024/03/01/supply-chain-third-party-breaches/