Rapid7近日披露,其部分客户可能受到针对第三方代码覆盖率解决方案提供商Codecov的网络攻击影响。Codecov数据泄露事件发生于2021年1月31日前后,并于2021年4月15日对外公布。
尽管Rapid7只是数百家可能受此次安全漏洞影响的Codecov客户之一,但作为知名的安全技术供应商,他们显得尤为突出。正因如此,他们成为恶意行为者企图窃取客户资产的首要目标。尽管Rapid7内部可能拥有强大的管控措施和响应流程,但此次事件凸显出:即便是最严谨的组织,其供应链内部也可能存在被利用的漏洞。
主流第三方风险管理平台包含影响发现评估功能,客户可借助该功能识别使用Rapid7解决方案且可能因本次事件遭受不利影响的供应商。
相关报道显示,加拿大邮政本周也宣布遭遇第三方数据泄露事件。该事件导致95万客户数据外泄,经查系电子数据交换供应商Commport遭受恶意软件攻击所致。
我们常常误以为规模庞大、声誉卓著的企业能够完全掌控其运营与服务。事实上,几乎所有公司都依赖第三方来生产和交付产品与服务。而这些第三方通常又会将业务外包给第四方——许多商业关系更延伸至看似无穷无尽的第N方。因此,供应链深处发生的数据泄露及其他安全事件,往往会产生连锁反应,最终波及终端消费者。
尽管供应链安全无法做到绝对保障,但这些案例表明定期开展供应商风险评估、梳理供应商多层级关联关系以及持续监控第三方供应商至关重要。这些举措使企业能够快速识别供应链事件,评估潜在风险敞口,获取风险处置所需信息,并有效与客户及其他利益相关方进行沟通。
Prevalent 提供解决方案与服务,助您全面掌握组织面临的第三方、第四方及N方风险。欢迎联系我们,了解Prevalent是否适合您的需求。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
