技術供應鏈漏洞使威脅參與者能夠以最小的努力擴展其運營，在導致第三方入侵的外部B2B關系中，75%涉及軟件或其他技術產品和服務，其余25%的第三方違規涉及非技術產品或服務。

 

 

臭名昭著的網絡犯罪集團Cl0p在2023年可歸因于第三方入侵的事件中占64%，緊隨其后的是LockBit，僅占7%，Cl0p的突出表現在很大程度上是因為它大規模利用了MOVEit文件傳輸軟件中的零日漏洞，這也是最常被提及的漏洞。

 

當人們考慮到為什么威脅參與者一開始就選擇共同的第三方攻擊載體時，這種在組之間分布的日益不成比例的漏洞是有意義的，這些方法通常使攻擊者能夠一次危害大量受害者，使他們的操作具有更大的可擴展性，例如，危及一個托管服務提供商(MSP)的安全可能使參與者能夠以相對最小的努力損害數十甚至數百個客戶的安全，因此，更頻繁地使用第三方攻擊媒介的威脅行為者將對受害者中不成比例的大部分負有責任，這是有道理的。

 

61%的第三方違規行為歸因于移動(CVE-2023年-34362)，在最初的襲擊發生幾個月后，這一大規模運動的新確認受害者繼續在報道中浮出水面。在涉及特定漏洞的所有第三方漏洞中，77%涉及利用最廣泛的三個漏洞(MOVEit、CitrixBleed和Proself)。MOVEit零日漏洞的廣泛影響的一個原因是，它允許第三方、第四方甚至第五方相關聯。

 

 

在2023年的所有入侵事件中，約有29%可歸因于第三方攻擊載體，這個數字可能低估了實際的百分比，因為許多關于入侵的報告沒有具體說明攻擊媒介。

 

醫療保健和金融服務成為受第三方入侵影響最嚴重的行業，醫療保健占總違規事件的35%，金融服務占16%。

 

第三方關系的復雜生態系統可能會揭示為什么醫療保健總體上會遭遇如此多的違規行為，尤其是第三方違規行為。醫療保健行業還有許多其他獨特的風險因素，可能是其頻繁違規的原因，例如易受攻擊的醫療設備、被認為易受勒索軟件勒索的脆弱性、更詳細的PHI對欺詐的更大用處等。

 

技術關系在第三方入侵中的優勢在金融業也是顯而易見的，這種活動的大部分歸因于專門的金融服務軟件或技術。

 

僅美國就占了63%，然而，由于新聞媒體和安全供應商將壓倒性的重點放在美國和其他英語國家的入侵上，地理差異可能更難檢測到。

 

雖然第三方入侵在全球范圍內很常見，但日本以高得多的比例脫穎而出(48%)，作為汽車、制造、技術和金融服務的中心，日本公司由于國際依賴，面臨著巨大的供應鏈網絡風險。

 

SecurityScorecard負責威脅研究和情報的高級副總裁Ryan Sherstobitoff說：“供應商生態系統是勒索軟件組織非常想要的目標，第三方漏洞受害者通常在收到勒索軟件通知后才知道發生了事件，這讓攻擊者有時間滲透到數百家公司而不被發現”。

 

 

根據Gartner的說法，“第三方網絡入侵的成本通常比補救內部網絡安全漏洞的成本高出40%”，隨著2023年數據泄露的平均成本達到445萬美元，企業必須主動實施供應鏈網絡風險管理，以降低業務風險。

 

在數字時代，信任是網絡安全的代名詞，企業必須通過在其數字和第三方生態系統中實施持續的、指標驅動的、與業務保持一致的網絡風險管理來提高韌性。

 

 

國內主流的to B IT門戶，同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)。

 

版權聲明：本文為企業網D1Net編譯，轉載需在文章開頭注明出處為：企業網D1Net，如果不注明出處，企業網D1Net將保留追究其法律責任的權利。