根據SecurityScorecard調查,98%依賴第三方供應鏈的企業曾經歷至少一次的資料外洩事件。網路犯罪集團愈來愈鍾情以第三方為攻擊目標,因為這種手法能讓他們輕鬆入侵大量受害者。據調查,超過75%資料外洩事件與企業對企業相連的軟體或技術服務相關。
2023年有高達64%可歸因第三方遭駭而引發外洩事件中都與Cl0p組織有關。Lockbit僅占7%。Cl0p之所以如此活躍,主要是
大舉利用了MOVEit檔案傳輸軟體的零日漏洞CVE-2023-34362。這個漏洞更是整體第三方攻擊中被最頻繁利用的弱點。據了解,最常被利用的三大漏洞MOVEit、CitrixBleed和Proself涵蓋了77%可具體指出利用漏洞的第三方遭駭事件。MOVEit漏洞影響範圍遍及第三方、第四方甚至第五方等供應鏈層層對象,因而造成災情廣泛。
相關文章:MOVEit再爆新漏洞! 多個版本受影響
第三方攻擊如此蔚為風潮,不僅是因為成本低且容易擴大規模,同時也有29%的遭駭事件都能歸因於第三方攻擊向量。但專家認為不只29%。
多數事件與技術產品或服務有關,醫療保健和金融服務業成為遭受第三方攻擊影響最嚴重的產業,前者佔了35%的遭駭事件總數,後者則佔了16%。
在醫療保健業,許多其他風險因素都可能導致第三方攻擊事件更常發生,如易受攻擊的醫療設備、受到勒索軟體勒索的潛在威脅、個人健康資訊對詐欺更有用等。金融業則由於第三方提供的金融服務軟體或技術遭受攻擊。
雖然第三方遭駭事件在全球都很常見,但日本的比例(48%)明顯較高。日本是全球汽車、製造、科技和金融服務重要地,與國際單位緊密連接,據了解,日本企業目前面臨著重大供應鏈網路風險。
供應鏈生態系統對駭客有無比吸引力,他們能夠暗中滲透多家企業長達數週或數月之久。受害者往往得等到收到勒索訊息時,才驚覺遭駭。有鑑於第三方遭駭成本比內部資安事件修復成本高出40%,隨著2023年資料外洩事件的平均成本高達445萬美元,企業必須主動落實供應鏈網路風險管理,以降低營運風險。
專家表示,在數位時代企業的信任等同於網路防護,企業必須全面檢視供應鏈生態,持續導入以指標為基礎、與營運緊密結合的風險控管機制,提升企業的韌性。
本文轉載自Helpnetsecurity。