資安風險評估公司 SecurityScorecard 發布《2025 年全球第三方資安事故報告》,其 STRIKE 資安威脅情資小組透過全球最大的專有風險與威脅資料庫,分析了 1,000 起橫跨各產業與地區的資安事故。研究揭露了關鍵攻擊模式、評估第三方資安缺失的影響,並找出攻擊者最常利用的供應鏈關係類型。
SecurityScorecard STRIKE 資安威脅研究與情資資深副總裁 Ryan Sherstobitoff 指出,駭客優先鎖定第三方作為攻擊目標,因為這能大幅擴大攻擊範圍。研究顯示,勒索軟體集團和國家級駭客日益頻繁地利用供應鏈作為入侵途徑。為因應這些威脅,資安主管須從定期的供應商審查,轉向即時監控機制,以防止風險在供應鏈中蔓延。
重要發現:
- 資安風險激增:2024年有35.5%的資安事故源自第三方供應商。考慮到通報不足和分類誤差,實際數字可能更高。
- 科技業態勢轉變:涉及科技產品和服務的第三方資安事故佔46.75%,較去年的75%下降,顯示攻擊面正在多元化發展。
- 產業衝擊:零售與餐旅業的第三方資安事故比率最高,達52.4%,其次是科技產業(47.3%)和能源與公用事業(46.7%)。
- 醫療產業焦點:醫療產業發生最多第三方資安事故(78起),但整體比率(32.2%)低於平均。
- 全球熱點:新加坡的第三方資安事故比率最高(71.4%),其次是荷蘭(70.4%)和日本(60%)。美國的比率較低(30.9%),低於全球平均值4.6個百分點。
- 勒索軟體關聯:目前41.4%的勒索軟體攻擊是透過第三方管道發動。其中勒索軟體組織Cl0p最常利用第三方存取管道進行攻擊。
降低第三方資安風險的實務建議
根據第三方資安事故分析,SecurityScorecard 針對資安團隊提出以下重點建議:
- 依風險特性調整管理方式:第三方風險因產業、地區、技術和組織架構而有所不同。應根據這些因素客製化資安策略,以達到最佳風險管理效果。
- 強化第四方風險管理:要求供應商建立完善的第三方風險管理(TPRM)機制,並將 TPRM 要求納入合約中。須認知供應商的資安缺失可能導致組織面臨第四方威脅。
- 要求「資安優先」的技術架構:確保資安功能為系統內建要素,而非選配項目。選擇供應商時,應提升採購標準並遵循 CISA 的資安優先設計原則。
- 強化高風險基礎設施:優先保護檔案傳輸軟體、雲端基礎設施、產業專用服務和 VPN。確實執行即時修補、多因子驗證(MFA)和持續性資安評估。
- 瓦解勒索軟體供應鏈:支付贖金不僅會助長未來攻擊,更可能帶來法律風險,且通常無法確保資料恢復。應加強防禦並堅持拒絕支付贖金,以保護組織和整體資安生態。
該報告整合多方情資來源,包括開源情報(OSINT)、資安研究、法律訴訟、企業公告、政府揭露資訊、主流媒體報導及地下駭客論壇。所有資安事故樣本均來自 SecurityScorecard 的情資蒐集系統,該系統透過 SCDR 平台進行風險評分並啟動事故應變流程。
此研究更結合了 SecurityScorecard STRIKE 資安威脅情資小組蒐集的實際資安事故情資。為提供更全面的比較基準,研究樣本特意納入大量非第三方供應商引發的資安事故。
本文轉載自 DarkReading。