供应链攻击激增，组织对依赖关系“盲目行动”

快速阅读: 据《The Register》最新报道，多数企业面临供应链安全威胁，但缺乏有效监控。88%的CISO担忧，但仅半数进行全面监控。79%的第三方供应商未受监管，36%的供应链仅1-10%受保护。

大多数全球企业每年都会处理至少一次关键供应链攻击，但很少有企业采取足够的措施来应对不断增长的威胁。SecurityScorecard 的最新研究显示，组织及其安全负责人对供应链风险极为关注。在被调查的 550 名 CISO 和其他安全高管中，88% 的人表示担心供应链安全，但不到一半的人真正对其外部供应商进行全面的安全监控。近五分之四的组织（79%）表示，其“第 N 方”供应链——即他们的第三方供应商的下级供应商及其依赖关系——中不到一半受到网络安全计划的监管。SecurityScorecard 在其报告中表示：“这意味着大多数组织在保障维持其业务运行的供应链方面缺乏有效监控。”“事实上，36% 的受访者透露，他们的供应链中只有 1-10% 受到保护，这在第三方入侵事件日益增多的背景下是一个明显的警示信号。”

对于那些能够了解其更广泛供应链情况的组织来说，他们获得的数据很可能令人担忧。近三分之二（62%）的安全负责人表示，他们第三和第 N 方供应商中，不到一半符合他们自己组织的安全要求。SecurityScorecard 表示：“至少，你期望你的第三方和第 N 方供应商能与你公司的安全协议保持一致。但事实并非如此。”

客户及其供应商在监控供应链安全和满足安全标准方面的缺乏监控能力或意愿，自然导致了大量不受欢迎的攻击。71% 的安全负责人表示，在过去一年中，他们的组织就经历了至少一起对其业务产生重大影响的事件。超过三分之一（37%）的组织经历了三次或更多次这些攻击事件，而 5% 的组织在同一时期内因供应链中的外部实体而遭受了 10 次或更多的攻击。

支持供应商发现的是 Verizon 2024 年数据泄露调查报告，其中指出全年第三方入侵事件在全球范围内增长了 100%。这些事件占 2024 年总攻击数量的 30%，而前一年这一比例为 15%。

可见性是影响组织易受供应链攻击的主要问题之一（即对供应链的可视程度），但当有改进意愿时，往往缺乏方法。该报告指出，最常见的供应链安全障碍是数据过载。当管理供应链安全的责任经常落在安全运营中心（SOC）团队身上，而这些团队在正常情况下都充斥着警报，因此可以理解为何这仍然是组织的一个痛点。

解决方案是什么？与大多数网络安全专家交谈，你会听到他们强调网络弹性的价值。NCSC 当然也一直这样做多年了。网络弹性通常指的是达到一个组织可以自信且有效地检测、阻止并迅速从任何类型的网络攻击中恢复的状态。理想情况下，前两步应该能避免第三步成为必要，但这毕竟是现实世界。虽然不容易实现，但确保你的组织落实基本安全措施可以在一定程度上减轻第三方安全漏洞带来的负面影响。

对于 SecurityScorecard 而言，其指出：“实现真正的弹性需要全面的供应链网络安全战略。”其数据显示，大多数组织并没有采取所有必要的步骤，或者即使采取了，也未必能像应有那样有效。例如，供应链安全策略的一个方面，也有助于解决组织面临的可见性问题，是对所有供应链成员进行风险评估。超过一半的受访者（56%）采取了这一措施，尽管 36% 的人表示他们在获取有用回应方面遇到困难。这可能是因为风险评估通常是通过问卷进行的，而且往往是自我报告的，这往往导致有偏见和未经验证的结论。

处理供应链风险最常见的做法是购买一份专门涵盖此类事件的网络安全保险——63% 的所有企业都有针对最坏情况的保障。大多数组织还对员工进行网络安全意识培训，并进行持续监控，但在其他所有降低风险的策略中，只有少数安全负责人表示他们使用了这些策略。

Anthropic 不会修复其 SQLite MCP 服务器中的漏洞
美国审计师呼吁五角大楼关注最新关于 IT 系统缺陷的报告
特朗普废除数字身份规则，声称它们帮助“非法移民”进行欺诈
警方希望苹果和谷歌远程关闭被盗手机——但为什么他们不愿意？

例如，只有 38% 的组织在将供应商引入或退出其供应链时拥有正式的入职和离职流程。比例也较低的组织会与供应商讨论其安全问题以确定根本原因，甚至更少（26%）会与他们进行联合桌面演练。

SecurityScorecard 表示：“大多数组织管理供应链网络安全风险的方法未能适应不断扩大的威胁。恢复真正的安全感意味着不仅要投资于识别风险，还要实时响应这些风险。”“虽然传统的第三方风险管理曾经有它的位置，但现在领导者们应该超越预防，转向弹性。下一波第三方网络安全事件不会等待更好的流程。”

在一个系统性威胁的时代，弹性不能等待。必须现在就建立——由内而外。”

(以上内容均由Ai生成)