金融機(jī)構(gòu)正在構(gòu)建更強(qiáng)大的防御體系以抵御直接的網(wǎng)絡(luò)攻擊，但它們可能忽視了一個(gè)日益嚴(yán)重的問(wèn)題：其供應(yīng)商。根據(jù)Black Kite的最新報(bào)告，第三方風(fēng)險(xiǎn)已成為金融行業(yè)面臨的最大網(wǎng)絡(luò)安全威脅之一。

供應(yīng)商的盲點(diǎn)

報(bào)告發(fā)現(xiàn)，盡管金融機(jī)構(gòu)自身在防范勒索軟件和其他威脅方面做得越來(lái)越好，但它們所依賴的公司，包括軟件提供商、基礎(chǔ)設(shè)施合作伙伴和外部服務(wù)公司，往往達(dá)不到相同的安全標(biāo)準(zhǔn)，這使銀行、保險(xiǎn)公司和其他金融機(jī)構(gòu)即使未被直接攻擊，也處于風(fēng)險(xiǎn)之中。

“我們的研究發(fā)現(xiàn)，盡管針對(duì)金融行業(yè)的直接攻擊似乎在減少，但這個(gè)行業(yè)遠(yuǎn)未安全，”Black Kite的首席研究與情報(bào)官Ferhat Dikbiyik表示，“一個(gè)必須解決的關(guān)鍵領(lǐng)域是第三方風(fēng)險(xiǎn)，我們?cè)诠?yīng)商公司中發(fā)現(xiàn)了許多弱點(diǎn)，現(xiàn)實(shí)情況是，它們的防御能力和監(jiān)管義務(wù)與金融行業(yè)不同，一旦這些供應(yīng)商被攻破，影響可能是廣泛而重大的。”

攻擊者正在轉(zhuǎn)變策略

研究數(shù)據(jù)顯示，針對(duì)金融公司的直接勒索軟件攻擊數(shù)量正在下降，從2023年的191起降至2025年上半年的55起，這是個(gè)好消息，但并不意味著攻擊者放棄了，相反，許多攻擊者開(kāi)始瞄準(zhǔn)供應(yīng)商，這些公司可能成為進(jìn)入金融機(jī)構(gòu)的后門(mén)。

這種轉(zhuǎn)變部分是由于勒索軟件格局的變化，像LockBit和AlphV這樣的大型團(tuán)體已被瓦解，它們的缺席為更小、組織更松散的參與者使用勒索軟件即服務(wù)(Ransomware-as-a-Service)工具提供了空間。研究人員表示，這使得生態(tài)系統(tǒng)更加碎片化和不可預(yù)測(cè)，新的團(tuán)體試圖通過(guò)利用較弱的環(huán)節(jié)(往往是第三方)來(lái)碰運(yùn)氣。

供應(yīng)商安全狀況堪憂

Black Kite分析了為金融行業(yè)客戶提供服務(wù)的140家供應(yīng)商，發(fā)現(xiàn)：

? 92%的供應(yīng)商在信息披露風(fēng)險(xiǎn)方面獲得了C、D或F級(jí)，表明供應(yīng)商在處理敏感數(shù)據(jù)方面存在廣泛?jiǎn)栴}。

? 65%的供應(yīng)商未保持最新的補(bǔ)丁級(jí)別，使它們?nèi)菀资艿揭阎┒矗踔亮闳章┒吹墓簟?/p>

? 31家供應(yīng)商至少存在一個(gè)CVSS評(píng)分達(dá)到8或以上的關(guān)鍵漏洞，其中15家的漏洞評(píng)分超過(guò)9。

? 90家供應(yīng)商被標(biāo)記為高風(fēng)險(xiǎn)威脅類(lèi)別，包括35家被標(biāo)記為存在已知被利用漏洞(KEV)的供應(yīng)商。

CISO不能僅因供應(yīng)商在金融行業(yè)工作或與之合作，就假定其安全“足夠好”，許多供應(yīng)商甚至未能達(dá)到基本的安全衛(wèi)生標(biāo)準(zhǔn)。

對(duì)CISO的建議

主要結(jié)論很明確：強(qiáng)大的內(nèi)部防御是不夠的，CISO需要將注意力轉(zhuǎn)向第三方風(fēng)險(xiǎn)管理：

? 識(shí)別并繪制所有供應(yīng)商關(guān)系圖，包括小型供應(yīng)商和基礎(chǔ)設(shè)施合作伙伴。

? 定期評(píng)估供應(yīng)商的安全狀況，必要時(shí)使用風(fēng)險(xiǎn)評(píng)級(jí)和更深入的盡職調(diào)查。

? 持續(xù)監(jiān)控供應(yīng)商風(fēng)險(xiǎn)的變化，而不僅僅是進(jìn)行點(diǎn)對(duì)點(diǎn)的評(píng)估。

? 與采購(gòu)和法律團(tuán)隊(duì)緊密合作，在供應(yīng)商合同中強(qiáng)制執(zhí)行網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。