2022年威瑞森数据泄露调查报告:如何应对日益增多的第三方供应商与供应链攻击

采用这七项最佳实践,可加速识别、分级处理及缓解针对第三方、合作伙伴及软件供应链的攻击。

Mitratech 员工
Mitratech 员工 6月1,2022 5 分钟阅读

2022年威瑞森数据泄露调查报告堪称数据宝库,深入分析了2020年11月1日至2021年10月31日期间发生的23,896起安全事件和5,212起数据泄露事件。然而,报告中某些令人不安的趋势警示着安全团队、风险管理团队及供应商管理团队,需为未来事件做好更充分的准备。 以下是报告中关于第三方风险管理的核心要点:

62%的系统入侵事件是通过合作伙伴渠道发生的

每个组织都或多或少依赖第三方——无论是为业务提供商品或服务的供应商
还是为最终产品生产投入品的供货商
。威瑞森的数据表明,去年系统入侵事件中62%涉及合作伙伴(如第三方、供应商或供货商)(参见报告图36)。 若回顾2008年仅39%的数据泄露事件涉及合作伙伴,便能清晰看到第三方参与安全事件的比例随时间呈现惊人增长。每新增一个业务往来的第三方,您的攻击面就会呈指数级扩大。

软件供应链攻击(通过软件更新实施)正推动着合作伙伴主导型入侵事件的激增,此类事件在2021年总事件量中占比达9%。 单个遭入侵的软件供应商向数千客户推送更新(这些客户又可能与数千家供应商、供货商及其他第三方合作——即次级受害者),便足以造成难以估量的破坏(参见SolarWinds事件)。

尽管数据集显示第三方数据泄露仅占泄露数据的1%,但威瑞森指出,在此类泄露中,被盗凭证和勒索软件位列五大攻击手段之列。这意味着第三方风险管理人员应积极确保其第三方供应商和供货商已建立强密码策略和网络分段架构,并能独立验证这些措施的有效性。

顶级动作向量

(来源:威瑞森数据泄露调查报告,2022年5月)

制造业正成为日益增长的攻击目标

从行业角度看,制造领域中合作伙伴占威胁行为者的1%。虽然1%看似比例不高,但单次系统入侵事件造成的破坏不容小觑——例如丰田供应商小岛工业遭遇的勒索软件攻击。尽管该事件未包含在本数据集中,但此类安全漏洞应提醒我们:单次事件可能引发广泛而持久的影响。 事实上,威瑞森数据表明制造业整体正成为日益增长的攻击目标——系统入侵事件呈指数级增长。详见报告图92。

制造破坏模式

(来源:威瑞森数据泄露调查报告,2022年5月)

勒索软件显著增加

延续勒索软件主题,勒索软件攻击事件较2020年增长13%,据威瑞森公司统计,这一增幅超过过去五年总和。详见下文报告中的图38。

安全事件和数据泄露的激增并不令人意外;只需浏览新闻头条,便能知晓最新的受害者。过去一年中,第三方勒索软件攻击事件频发,包括PracticeMaxKaseya和Colonial Pipeline等公司均遭入侵——其中多数是Ryuk勒索软件的变种。

勒索软件攻击随时间推移的演变

(来源:威瑞森数据泄露调查报告,2022年5月)

七项经实战检验的最佳实践,有效降低第三方风险

随着第三方数据泄露和勒索软件攻击事件的日益增多,采用人工方式管理第三方供应商风险的企业应考虑实施以下最佳实践,以加快风险识别、分级处理和缓解措施的实施。

  1. 在合同签署前,通过分析近期数据泄露事件和监管行动,并揭示潜在风险的第四方关系,开始管理第三方风险——这些数据可为您的供应商选择决策提供更深入的依据。
  2. 供应商合同中明确事故和数据泄露响应时限,并通过自动化报告机制依据可执行的服务水平协议(SLA)进行监控,当未达预期时触发警报。同时确保供应商具备便捷直观的事故与数据泄露报告及通报机制。
  3. 评估第三方供应商的固有风险,并根据其固有风险评分对供应商进行分级,以确定入驻后持续尽职调查评估的范围。
  4. 基于最佳实践安全框架(如NIST或ISO)开展详细的内部控制供应商风险评估,建立工作流程和报告机制以升级控制异常并提出补救措施。这些活动应涵盖特定风险领域,包括人为因素、数据管理和认证机制。
  5. 通过将外部可观察的网络安全指标与内部控制评估结果相关联,验证供应商控制措施的持续有效性。例如,若发现供应商的用户ID和密码在暗网论坛上被出售,则可将此发现与评估报告中关于其密码策略强度的结论关联,从而判断是否需要进行调整。
  6. 识别组织与第三方之间的关系,以发现依赖性并可视化可能遭受第四类攻击的信息路径。
  7. 利用工作流机制,对系统访问权限、数据销毁及访问管理进行报告,在供应商离职后及时封堵潜在的安全漏洞。

如何处理第三方供应商和供货商的安全事件

随着供应商数据泄露和供应链中断事件持续占据头条,评估数百家(甚至数千家)第三方供应商的风险需求,很容易令人应接不暇。

为帮助您的团队更主动地识别和缓解第三方安全事件,Prevalent基于NIST计算机安全事件处理指南SP 800-61制定了事件响应检查清单。该清单规定了安全团队在制定事件响应计划时应考虑的四个基础阶段。请结合完整的NIST指南使用此清单,对照现有第三方事件响应流程与最佳实践进行评估。

随后,申请Prevalent演示,我们将为您量身定制策略方案,探讨如何实现从供应商选择到离职管理全流程的TPRM自动化。

编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。

授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。