入侵通常需要幾個(gè)月或更長的時(shí)間才能公之于眾，受害者可能花了幾周或幾個(gè)月的時(shí)間才發(fā)現(xiàn)了漏洞，這可能在之后的幾周或幾個(gè)月內(nèi)不會(huì)出現(xiàn)在公開報(bào)道中。

技術(shù)供應(yīng)鏈漏洞使威脅參與者能夠以最小的努力擴(kuò)展其運(yùn)營，在導(dǎo)致第三方入侵的外部B2B關(guān)系中，75%涉及軟件或其他技術(shù)產(chǎn)品和服務(wù)，其余25%的第三方違規(guī)涉及非技術(shù)產(chǎn)品或服務(wù)。

與網(wǎng)絡(luò)犯罪集團(tuán)有關(guān)的第三方入侵

臭名昭著的網(wǎng)絡(luò)犯罪集團(tuán)Cl0p在2023年可歸因于第三方入侵的事件中占64%，緊隨其后的是LockBit，僅占7%，Cl0p的突出表現(xiàn)在很大程度上是因?yàn)樗笠?guī)模利用了MOVEit文件傳輸軟件中的零日漏洞，這也是最常被提及的漏洞。

當(dāng)人們考慮到為什么威脅參與者一開始就選擇共同的第三方攻擊載體時(shí)，這種在組之間分布的日益不成比例的漏洞是有意義的，這些方法通常使攻擊者能夠一次危害大量受害者，使他們的操作具有更大的可擴(kuò)展性，例如，危及一個(gè)托管服務(wù)提供商(MSP)的安全可能使參與者能夠以相對(duì)最小的努力損害數(shù)十甚至數(shù)百個(gè)客戶的安全，因此，更頻繁地使用第三方攻擊媒介的威脅行為者將對(duì)受害者中不成比例的大部分負(fù)有責(zé)任，這是有道理的。

61%的第三方違規(guī)行為歸因于移動(dòng)(CVE-2023年-34362)，在最初的襲擊發(fā)生幾個(gè)月后，這一大規(guī)模運(yùn)動(dòng)的新確認(rèn)受害者繼續(xù)在報(bào)道中浮出水面。在涉及特定漏洞的所有第三方漏洞中，77%涉及利用最廣泛的三個(gè)漏洞(MOVEit、CitrixBleed和Proself)。MOVEit零日漏洞的廣泛影響的一個(gè)原因是，它允許第三方、第四方甚至第五方相關(guān)聯(lián)。

第三方攻擊載體

在2023年的所有入侵事件中，約有29%可歸因于第三方攻擊載體，這個(gè)數(shù)字可能低估了實(shí)際的百分比，因?yàn)樵S多關(guān)于入侵的報(bào)告沒有具體說明攻擊媒介。

醫(yī)療保健和金融服務(wù)成為受第三方入侵影響最嚴(yán)重的行業(yè)，醫(yī)療保健占總違規(guī)事件的35%，金融服務(wù)占16%。

第三方關(guān)系的復(fù)雜生態(tài)系統(tǒng)可能會(huì)揭示為什么醫(yī)療保健總體上會(huì)遭遇如此多的違規(guī)行為，尤其是第三方違規(guī)行為。醫(yī)療保健行業(yè)還有許多其他獨(dú)特的風(fēng)險(xiǎn)因素，可能是其頻繁違規(guī)的原因，例如易受攻擊的醫(yī)療設(shè)備、被認(rèn)為易受勒索軟件勒索的脆弱性、更詳細(xì)的PHI對(duì)欺詐的更大用處等。

技術(shù)關(guān)系在第三方入侵中的優(yōu)勢在金融業(yè)也是顯而易見的，這種活動(dòng)的大部分歸因于專門的金融服務(wù)軟件或技術(shù)。

僅美國就占了63%，然而，由于新聞媒體和安全供應(yīng)商將壓倒性的重點(diǎn)放在美國和其他英語國家的入侵上，地理差異可能更難檢測到。

雖然第三方入侵在全球范圍內(nèi)很常見，但日本以高得多的比例脫穎而出(48%)，作為汽車、制造、技術(shù)和金融服務(wù)的中心，日本公司由于國際依賴，面臨著巨大的供應(yīng)鏈網(wǎng)絡(luò)風(fēng)險(xiǎn)。

SecurityScorecard負(fù)責(zé)威脅研究和情報(bào)的高級(jí)副總裁Ryan Sherstobitoff說：“供應(yīng)商生態(tài)系統(tǒng)是勒索軟件組織非常想要的目標(biāo)，第三方漏洞受害者通常在收到勒索軟件通知后才知道發(fā)生了事件，這讓攻擊者有時(shí)間滲透到數(shù)百家公司而不被發(fā)現(xiàn)”。

第三方網(wǎng)絡(luò)風(fēng)險(xiǎn)是一種業(yè)務(wù)風(fēng)險(xiǎn)

根據(jù)Gartner的說法，“第三方網(wǎng)絡(luò)入侵的成本通常比補(bǔ)救內(nèi)部網(wǎng)絡(luò)安全漏洞的成本高出40%”，隨著2023年數(shù)據(jù)泄露的平均成本達(dá)到445萬美元，企業(yè)必須主動(dòng)實(shí)施供應(yīng)鏈網(wǎng)絡(luò)風(fēng)險(xiǎn)管理，以降低業(yè)務(wù)風(fēng)險(xiǎn)。

在數(shù)字時(shí)代，信任是網(wǎng)絡(luò)安全的代名詞，企業(yè)必須通過在其數(shù)字和第三方生態(tài)系統(tǒng)中實(shí)施持續(xù)的、指標(biāo)驅(qū)動(dòng)的、與業(yè)務(wù)保持一致的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理來提高韌性。