98% 的企業(yè)與曾發(fā)生安全事件的第三方有關(guān)聯(lián)
Security Scorecard 近期發(fā)布的調(diào)查數(shù)據(jù)結(jié)果顯示,98% 的企業(yè)與曾發(fā)生過網(wǎng)絡(luò)安全事件的第三方機(jī)構(gòu)有關(guān)聯(lián)。
從以往的安全事件案例來看,網(wǎng)絡(luò)攻擊的受害者可能需要數(shù)周甚至數(shù)月才會(huì)發(fā)現(xiàn)自身存在的漏洞問題,此后數(shù)周或數(shù)月內(nèi)漏洞才可能會(huì)被公開披露。因此,數(shù)據(jù)泄密事件往往可能需要數(shù)月或更長(zhǎng)的時(shí)間才會(huì)公之于眾。研究人員還發(fā)現(xiàn),技術(shù)供應(yīng)鏈漏洞使得威脅攻擊者能夠以最小的代價(jià)不斷擴(kuò)大網(wǎng)絡(luò)攻擊的規(guī)模。
與網(wǎng)絡(luò)犯罪集團(tuán)有關(guān)的第三方泄密事件
2023 年,臭名昭著的網(wǎng)絡(luò)犯罪集團(tuán) Cl0p 勒索軟件組織可能要對(duì) 64% 的第三方違規(guī)行為負(fù)責(zé),其次是LockBit 勒索軟件組織的 7%。Cl0p 勒索軟件組織之所以取得如此大的”成功“,是因?yàn)槠浯笠?guī)模利用了MOVEit 文件傳輸軟件中的零日漏洞
值得一提的是,在所有涉及特定漏洞的第三方違規(guī)安全事件中,有 77% 的安全事件涉及三個(gè)最廣泛利用的漏洞(MOVEit、CitrixBleed 和 Proself),其中 MOVEit 零日漏洞占據(jù)了 61%,MOVEit 漏洞影響廣泛的原因之一是其可能導(dǎo)致第三方、第四方甚至第五方都存在被入侵風(fēng)險(xiǎn)。
威脅攻擊者為何首先選擇常見的第三方攻擊載體?原因很簡(jiǎn)單。第三方載體通常會(huì)使威脅攻擊者一次性入侵大量受害者,使其網(wǎng)絡(luò)攻擊活動(dòng)具有更強(qiáng)的可擴(kuò)展性。舉個(gè)簡(jiǎn)單的例子,攻擊一個(gè)托管服務(wù)提供商(MSP)可以讓威脅攻擊者以相對(duì)最小的代價(jià)攻擊其數(shù)十甚至數(shù)百個(gè)客戶。
第三方攻擊載體
2023 年發(fā)生的所有網(wǎng)絡(luò)安全事件中,約有 29% 可歸因于第三方攻擊載體,鑒于許多關(guān)于漏洞的報(bào)告都沒有說明攻擊載體,這一數(shù)字很可能比實(shí)際比例低很多。(醫(yī)療保健和金融服務(wù)成為受第三方漏洞影響最嚴(yán)重的行業(yè),醫(yī)療保健占漏洞總數(shù)的 35%,金融服務(wù)占 16%)
第三方關(guān)系的復(fù)雜生態(tài)系統(tǒng)可能揭示了為什么醫(yī)療保健行業(yè)會(huì)遭遇如此多的外泄事件,尤其是第三方外泄事件。不僅如此,醫(yī)療保健行業(yè)還有許多其他獨(dú)特的風(fēng)險(xiǎn)因素(醫(yī)療設(shè)備、用戶信息詳細(xì)),可能是導(dǎo)致其頻繁發(fā)生泄密事件的原因。在金融業(yè),第三方泄密事件中技術(shù)關(guān)系占主導(dǎo)地位的情況也很明顯,其中大部分事件都?xì)w因于專業(yè)的金融服務(wù)軟件或技術(shù)。
雖然第三方漏洞在全球范圍內(nèi)很常見,但日本的比例明顯更高(48%),作為汽車、制造、技術(shù)和金融服務(wù)的中心,日本公司由于國際依賴性而面臨著巨大的供應(yīng)鏈網(wǎng)絡(luò)風(fēng)險(xiǎn)。
SecurityScorecard 威脅研究與情報(bào)高級(jí)副總裁 Ryan Sherstobitoff 指出,供應(yīng)商生態(tài)系統(tǒng)是勒索軟件組織非常”青睞“的目標(biāo),第三方漏洞受害者往往在收到勒索軟件說明后才意識(shí)到發(fā)生了安全事故,這就為威脅攻擊者攻擊其它公司留出了大把時(shí)間。
根據(jù) Gartner 的數(shù)據(jù),第三方網(wǎng)絡(luò)漏洞的成本通常比修復(fù)內(nèi)部網(wǎng)絡(luò)安全漏洞的成本高出 40%,到 2023 年,數(shù)據(jù)泄露的平均成本將達(dá)到 445 萬美元,因此企業(yè)必須主動(dòng)實(shí)施供應(yīng)鏈網(wǎng)絡(luò)風(fēng)險(xiǎn)管理,以降低業(yè)務(wù)風(fēng)險(xiǎn)。
最后,SecurityScorecard 首席執(zhí)行官 Aleksandr Yampolskiy 強(qiáng)調(diào),企業(yè)必須通過在其數(shù)字和第三方生態(tài)系統(tǒng)中實(shí)施持續(xù)的、以指標(biāo)為導(dǎo)向的、與業(yè)務(wù)相一致的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理來提高復(fù)原力。
參考文章:https://www.helpnetsecurity.com/2024/03/01/supply-chain-third-party-breaches/
