供應(yīng)商的盲點(diǎn)
報告發(fā)現(xiàn),盡管金融機(jī)構(gòu)自身在防范勒索軟件和其他威脅方面做得越來越好,但它們所依賴的公司,包括軟件提供商、基礎(chǔ)設(shè)施合作伙伴和外部服務(wù)公司,往往達(dá)不到相同的安全標(biāo)準(zhǔn),這使銀行、保險公司和其他金融機(jī)構(gòu)即使未被直接攻擊,也處于風(fēng)險之中。
“我們的研究發(fā)現(xiàn),盡管針對金融行業(yè)的直接攻擊似乎在減少,但這個行業(yè)遠(yuǎn)未安全,”Black Kite的首席研究與情報官Ferhat Dikbiyik表示,“一個必須解決的關(guān)鍵領(lǐng)域是第三方風(fēng)險,我們在供應(yīng)商公司中發(fā)現(xiàn)了許多弱點(diǎn),現(xiàn)實(shí)情況是,它們的防御能力和監(jiān)管義務(wù)與金融行業(yè)不同,一旦這些供應(yīng)商被攻破,影響可能是廣泛而重大的。”
攻擊者正在轉(zhuǎn)變策略
研究數(shù)據(jù)顯示,針對金融公司的直接勒索軟件攻擊數(shù)量正在下降,從2023年的191起降至2025年上半年的55起,這是個好消息,但并不意味著攻擊者放棄了,相反,許多攻擊者開始瞄準(zhǔn)供應(yīng)商,這些公司可能成為進(jìn)入金融機(jī)構(gòu)的后門。
這種轉(zhuǎn)變部分是由于勒索軟件格局的變化,像LockBit和AlphV這樣的大型團(tuán)體已被瓦解,它們的缺席為更小、組織更松散的參與者使用勒索軟件即服務(wù)(Ransomware-as-a-Service)工具提供了空間。研究人員表示,這使得生態(tài)系統(tǒng)更加碎片化和不可預(yù)測,新的團(tuán)體試圖通過利用較弱的環(huán)節(jié)(往往是第三方)來碰運(yùn)氣。
供應(yīng)商安全狀況堪憂
Black Kite分析了為金融行業(yè)客戶提供服務(wù)的140家供應(yīng)商,發(fā)現(xiàn):
• 92%的供應(yīng)商在信息披露風(fēng)險方面獲得了C、D或F級,表明供應(yīng)商在處理敏感數(shù)據(jù)方面存在廣泛問題。
• 65%的供應(yīng)商未保持最新的補(bǔ)丁級別,使它們?nèi)菀资艿揭阎┒矗踔亮闳章┒吹墓簟?/p>
• 31家供應(yīng)商至少存在一個CVSS評分達(dá)到8或以上的關(guān)鍵漏洞,其中15家的漏洞評分超過9。
• 90家供應(yīng)商被標(biāo)記為高風(fēng)險威脅類別,包括35家被標(biāo)記為存在已知被利用漏洞(KEV)的供應(yīng)商。
CISO不能僅因供應(yīng)商在金融行業(yè)工作或與之合作,就假定其安全“足夠好”,許多供應(yīng)商甚至未能達(dá)到基本的安全衛(wèi)生標(biāo)準(zhǔn)。
對CISO的建議
主要結(jié)論很明確:強(qiáng)大的內(nèi)部防御是不夠的,CISO需要將注意力轉(zhuǎn)向第三方風(fēng)險管理:
• 識別并繪制所有供應(yīng)商關(guān)系圖,包括小型供應(yīng)商和基礎(chǔ)設(shè)施合作伙伴。
• 定期評估供應(yīng)商的安全狀況,必要時使用風(fēng)險評級和更深入的盡職調(diào)查。
• 持續(xù)監(jiān)控供應(yīng)商風(fēng)險的變化,而不僅僅是進(jìn)行點(diǎn)對點(diǎn)的評估。
• 與采購和法律團(tuán)隊緊密合作,在供應(yīng)商合同中強(qiáng)制執(zhí)行網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。
企業(yè)網(wǎng)D1net(m.hfnxjk.com):
國內(nèi)頭部to B IT門戶,旗下運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。旗下運(yùn)營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號