![迅猛兔加速器[中国官網]|迅猛兔加速器](/uploads/images/logo/xun-meng-tu-jia-su-qi.png){kind=logo}
第三方数据泄露和供应链风险上升的应对之道
关键要点
第三方和供应链合作伙伴的数据泄露事件显著增加,增幅达300。第三方数据泄露占所有数据泄露的25。组织必须采取措施减轻第三方泄露的风险,包括评估和监督供应商的安全态势。第三方和供应链合作伙伴的数据泄露事件正在增加,令人警觉的是,第三方的数据泄露事件已增加300,并占到所有数据泄露的25。上周,两家知名公司由于第三方的漏洞遭受了攻击。尤其是,网约车巨头 Uber 遭遇了攻击,泄露了包括源码、IT资产管理报告、数据销毁报告及近77000名员工的登录名和电子邮件地址等敏感信息。这种针对第三方软件无论是开源软件还是商业软件的漏洞已成为网络犯罪分子使用的主要 初始攻击向量。行业专家预测,2023年针对软件供应链的攻击将继续上升。
免费加速器试用一小时每天攻击者为何选择第三方
有些供应链攻击是针对特定组织的高度定向攻击,而有些则是随机的,这导致攻击者在发生泄露后发现次要目标,并识别出供应商关系。此外,网络犯罪分子知道较小的组织相较于大型企业,往往缺乏相同程度的保护,因此更容易受到利用。攻击者找到了通过第三方侵犯组织的多种方式:利用受信任的供应链合作伙伴进行复杂的网络钓鱼和社会工程攻击如 DoorDash,窃取第三方共享的凭证以渗透大型企业如 LastPass,或通过 SolarWinds 等方式妥协第三方软件更新,或者向脆弱的应用程序和软件中注入恶意代码如 Magecart。
第三方数据泄露的代价
相较于普通事件,第三方数据泄露的处置成本更高根据 IBM 的数据,供应链妥协的平均成本为446万美元,比常规数据泄露的平均成本高出25。供应链攻击和泄露也更难被发现平均组织需要303天才能识别和控制供应链妥协,这比识别和控制非供应链攻击平均277天多了26天。此外,61 的组织不确定他们的合作伙伴是否会在经历涉及敏感和机密信息的泄露时通知他们。
组织如何减轻风险?
随着组织向技术驱动的架构过渡,以及远程工作模式逐步成为常态,依赖第三方软件和服务的程度只会加剧。此外,监管者 正在加强对第三方安全的监管,企业对自己供应链合作伙伴的安全性越来越需要负责。以下是组织可以采取的四个最佳实践,以减少第三方数据泄露的风险:
实践描述识别、分类和优先排序所有供应链合作伙伴创建完整的第三方列表。根据所提供的服务类型、他们访问的数据和系统、运营地点及其他风险参数对供应商进行分类。最后,根据风险优先排序。评估高风险供应商的安全态势对高风险供应商进行详细尽职调查。评估信贷评分、现有的网络安全政策、实践以及对ISO 27001、[HIPAA](https//wwwscworld
