Security Scorecard 近期发布的调查数据结果显示，98% 的企业与曾发生过网络安全事件的第三方机构有关联。

从以往的安全事件案例来看，网络攻击的受害者可能需要数周甚至数月才会发现自身存在的漏洞问题，此后数周或数月内漏洞才可能会被公开披露。因此，数据泄密事件往往可能需要数月或更长的时间才会公之于众。研究人员还发现，技术供应链漏洞使得威胁攻击者能够以最小的代价不断扩大网络攻击的规模。

与网络犯罪集团有关的第三方泄密事件

2023 年，臭名昭著的网络犯罪集团 Cl0p 勒索软件组织可能要对 64% 的第三方违规行为负责，其次是LockBit 勒索软件组织的 7%。Cl0p 勒索软件组织之所以取得如此大的”成功“，是因为其大规模利用了MOVEit 文件传输软件中的零日漏洞

值得一提的是，在所有涉及特定漏洞的第三方违规安全事件中，有 77% 的安全事件涉及三个最广泛利用的漏洞（MOVEit、CitrixBleed 和 Proself），其中 MOVEit 零日漏洞占据了 61%，MOVEit 漏洞影响广泛的原因之一是其可能导致第三方、第四方甚至第五方都存在被入侵风险。

威胁攻击者为何首先选择常见的第三方攻击载体？原因很简单。第三方载体通常会使威胁攻击者一次性入侵大量受害者，使其网络攻击活动具有更强的可扩展性。举个简单的例子，攻击一个托管服务提供商（MSP）可以让威胁攻击者以相对最小的代价攻击其数十甚至数百个客户。

第三方攻击载体

2023 年发生的所有网络安全事件中，约有 29% 可归因于第三方攻击载体，鉴于许多关于漏洞的报告都没有说明攻击载体，这一数字很可能比实际比例低很多。（医疗保健和金融服务成为受第三方漏洞影响最严重的行业，医疗保健占漏洞总数的 35%，金融服务占 16%）

第三方关系的复杂生态系统可能揭示了为什么医疗保健行业会遭遇如此多的外泄事件，尤其是第三方外泄事件。不仅如此，医疗保健行业还有许多其他独特的风险因素（医疗设备、用户信息详细），可能是导致其频繁发生泄密事件的原因。在金融业，第三方泄密事件中技术关系占主导地位的情况也很明显，其中大部分事件都归因于专业的金融服务软件或技术。

虽然第三方漏洞在全球范围内很常见，但日本的比例明显更高（48%），作为汽车、制造、技术和金融服务的中心，日本公司由于国际依赖性而面临着巨大的供应链网络风险。

SecurityScorecard 威胁研究与情报高级副总裁 Ryan Sherstobitoff 指出，供应商生态系统是勒索软件组织非常”青睐“的目标，第三方漏洞受害者往往在收到勒索软件说明后才意识到发生了安全事故，这就为威胁攻击者攻击其它公司留出了大把时间。

根据 Gartner 的数据，第三方网络漏洞的成本通常比修复内部网络安全漏洞的成本高出 40%，到 2023 年，数据泄露的平均成本将达到 445 万美元，因此企业必须主动实施供应链网络风险管理，以降低业务风险。

最后，SecurityScorecard 首席执行官 Aleksandr Yampolskiy 强调，企业必须通过在其数字和第三方生态系统中实施持续的、以指标为导向的、与业务相一致的网络风险管理来提高复原力。

参考文章：https://www.helpnetsecurity.com/2024/03/01/supply-chain-third-party-breaches/