你的供应商可能是最薄弱环节：第三方泄露比例在一年内翻倍

这来自 Verizon 的《数据泄露调查报告》（DBIR）——业内最受关注的安全“剖析”之一，用于揭示信息安全到底哪里出了问题。本年度版本于周三发布，涵盖 2023 年 11 月 1 日至 2024 年 10 月 31 日期间发生的事件。

报告发现，涉及第三方的泄露占比从去年的 15% 升至今年报告中的 30%。该数值包括因被利用的软件漏洞和供应链妥协而导致的数据泄露事件（即确认发生数据丢失的事件）。

在报告发布会上，ImmuniWeb 首席执行官、英国计算机学会研究员 Ilia Kolochenko 表示，网络犯罪分子越来越把会计师事务所和律师事务所视为到达预期目标的途径。

“犯罪分子精明且务实；他们精打细算，注重成本，”他解释为何更脆弱的公司会成为通往更大目标环境的可靠入口。

Verizon 指出，供应商和其他业务伙伴未能执行正确的访问控制（包括防止凭证滥用），从而扩大了攻击面。特别是薄弱的第三方实践持续将组织暴露于下游风险之中。

举例来说：在第三方环境中，修复泄露凭证（例如在公共 GitHub 仓库被发现的 API 密钥或令牌）的中位用时为 94 天，给攻击者提供了充足的时间加以利用。

泄露的凭证并非唯一问题。报告还强调，凭证重复使用在数起高调事件中扮演关键角色，其中包括与 Snowflake 相关的一次重大泄露：攻击者利用此前曝光的凭证访问客户账户，因为缺乏强制的多因素身份验证（MFA）。

去年夏天，ShinyHunters 组织的威胁行为者使用被盗凭证进入 Snowflake 客户账户，影响 Santander、Ticketmaster 等大型机构，波及数亿条记录。

Verizon 指出，责任并非完全在 Snowflake 一方——约 80% 受影响账户此前已存在凭证泄露，放大了事件影响。

然而，在所有 Snowflake 账户未强制启用 MFA 的情况下，该行动尤其奏效。事故发生后，强制 MFA 成为 Snowflake 首批整改措施之一。

“只有在职责划分绝对清晰且不存在冲突的完美世界里，将基础设施即服务（或平台即服务）提供商的安全挑战与其不直接覆盖的本地资产的安全挑战视为同一水平才说得通，”报告写道。

“这意味着，在你无法完全控制的环境中，管理凭证往往更困难。平台的安全缺省设置在整体安全水平上产生显著差异，Snowflake 事件后的快速政策更新便证明了这一点。”

过去一年涉及软件供应商的其他重大事件包括 CDK Global、Blue Yonder 和 Change Healthcare。Verizon 将这些事件归类为勒索软件泄露，不仅泄露数百万条个人记录，还引发客户业务大规模中断——尤其影响医疗、零售和餐饮服务行业。

报告其他要点节选

• 初始入侵阶段利用漏洞的比例同比上升 34%，现占全部泄露的五分之一。

• 仅有 54% 的边界设备漏洞被彻底修复，平均修复时长为 32 天。

• 44% 的泄露涉及勒索软件，同比增加 37%。

• 然而，赎金中位数降至 11.5 万美元，且 64% 的受害者拒绝支付。

• “人为因素”在 60% 的泄露中发挥作用，与前一年基本持平。

• 具有明确财务目的的国家支持型攻击占此类攻击的 28%，而以间谍活动为目的的仅占 17%。

• 带有 AI 生成内容的恶意邮件比例在两年内翻倍，从约 5% 升至 10%。

• 15% 的员工在工作设备上常规访问生成式 AI 平台，Verizon 称这增加了企业数据泄露风险。

如何保护“源头”

Verizon 建议，欲降低第三方泄露风险，组织应在采购流程中把网络安全列为优先事项。

对已存在合同的组织，这并非总能做到，尤其在市场上缺乏可行替代者时。即便如此，移除一家深度嵌入的供应商也十分艰难。

但在下次销售电话中，询问供应商如何处理网络卫生、如何确保数据访问受限，或许就值得；在起草合同时，要把第三方的安全义务写得清清楚楚。这样一来，一旦出事便更易追究供应商责任。

此外，还需确保基础防护到位：默认启用 MFA、网络分段、严格的身份验证策略以及 API 密钥轮换。

总结

终究，有些威胁无法完全避免，但协作能缓解风险。“归根结底，没有万无一失的方法避免本报告提及的部分威胁，”Verizon 说。

“让供应商承担责任当然是其中一环。然而，唯有在透明协作与信息共享的推动下，组织才能建立良好、结构化的威胁建模框架，并据此做出更优、更可持续的决策，以保护数据与客户。”

🎉 大家期盼很久的#数字安全交流群来了！快来加入我们的粉丝群吧！

🎁多种报告，产业趋势、技术趋势

这里汇聚了行业内的精英，共同探讨最新产业趋势、技术趋势等热门话题。我们还有准备了专属福利，只为回馈最忠实的您！

👉 扫码立即加入，精彩不容错过！

😄嘻嘻，我们群里见！

原文始发于微信公众号（数世咨询）：你的供应商可能是最薄弱环节：第三方泄露比例在一年内翻倍