2023 年 5 起最严重第三方网络安全事件的教训

2023年第三方网络安全事件的破坏范围尤为广泛。以下是减轻供应商和合作伙伴数据泄露影响的策略。

Mitratech 员工
Mitratech 员工 12 月19,2023 6 分钟阅读
Decorative image

谈及网络安全事件,2023年可谓精彩纷呈。尽管我们目睹了预期的趋势——如勒索软件、更复杂的恶意软件以及国家/政治驱动的黑客攻击——但更令人瞩目的是,我们见证了大量引人入胜且影响深远的第三方安全事件。 本文将盘点2023年五大最严重的第三方网络安全事件,并探讨从中能汲取哪些教训。

#1 MOVEit

MOVEit漏洞的广泛影响堪称2023年网络安全领域的慢动作灾难。五月份,名为Cl0p的勒索软件团伙开始利用Progress Software旗下MOVEit Transfer企业文件传输解决方案的零日漏洞。尽管Progress Software已发布多项补丁,但截至本文撰写时,已有超过2000家机构报告遭受攻击。

表面上看,这起事件并不特别独特。零日攻击时有发生,受害组织也会发布"条件反射式"的漏洞公告和通知。但这次不同的是,公告接二连三地涌现。许多组织依赖某软件供应商,而该供应商却接连因存在被恶意利用的重大缺陷而陷入手忙脚乱的境地。这导致数据泄露、内部系统遭入侵等一系列后果。

此次 软件供应链攻击事件完美诠释了为何必须尽可能提升对软件供应链的可视性——这样才能更轻松地识别潜在漏洞,据此评估供应商的实践情况,并提前防范潜在问题。首先应编制一份正在使用的服务和软件清单。

确定您对供应商软件开发生命周期(SDLC)及其解决方案组件的了解程度。务必要求提供安全软件开发、打包和交付的证明,这些信息通常可在 软件物料清单(SBOM)中获取。若缺乏完善的质量保证(QA)流程,您的软件供应商可能存在安全漏洞——这意味着您的组织同样面临被利用的风险。

#2 赌场安全漏洞

尽管勒索软件攻击本身并非新鲜事物(我不敢说它们已是"旧闻",因为其破坏力依然巨大),但其根源总会暴露出一些新颖有趣的切入点。在米高梅度假村和凯撒娱乐公司这两起备受瞩目的勒索软件攻击事件中,第三方漏洞无疑是其中关键的新视角。 部分攻击源于针对拥有赌场环境远程访问权限的第三方实施的社会工程学攻击,其手法类似于2013年 塔吉特公司知名 数据泄露事件中攻击者锁定第三方暖通空调供应商的模式。

截至本文撰写时,凯撒娱乐已支付1500万美元,而 美高梅集团在此事件中 可能损失高达1亿美元。此次由黑客组织ALPHV和Scattered Spider发起的攻击事件中,遭泄露的数据包括姓名、驾照号码、出生日期,以及部分社会保障号码和护照号码。部分员工数据也遭到泄露。

该事件体现了IT安全计划的一项基本原则:培训——尤其是对技术支持部门的培训。同时,它也应提醒我们重视多因素认证(MFA)的重要性,以及对特权用户实施强认证策略、控制措施和验证机制的必要性。

#3 Okta

今年最重大的网络安全事件之一涉及Okta公司。除多次披露重大漏洞和数据泄露事件外,该公司 近日又宣布一家医疗供应商泄露了5000名Okta员工的信息。 首起事件中,攻击者窃取凭证入侵其支持案例管理系统,盗取客户上传的会话令牌。该事件波及所有Okta客户。 此前在2022年,Okta曾承认 遭遇类似攻击——黑客通过第三方入侵其网络,窃取了源代码。

此类事件凸显了组织中单点故障的脆弱性。在此案例中,身份与访问管理(IAM)解决方案是大多数员工与系统交互的核心枢纽,作为通往最敏感系统和数据的门户。正如前述赌场数据泄露事件所示,组织应全面审视其第三方权限及特权访问级别。

#4 伦敦大都会警察局

执法机构遭遇数据泄露和安全事件绝非好事。 今年伦敦大都会警察局就因IT供应商Digital ID遭遇勒索软件攻击而 发生数据泄露。泄露信息包含大量敏感数据,包括警员及工作人员姓名、照片、军衔、审查等级和身份证号码。

为更主动地防范此类攻击,首先需明确哪些机构掌握您的个人数据,并对其进行严密追踪——包括 持续威胁监测与网络信号观察,以识别暗网中被泄露数据的交易证据。同时需考量数据敏感性及与供应商的关系。任何参与身份与访问管理(IAM)的供应商都应被列为一级风险类别进行监控。

#5 亨利·谢恩

医疗器械制造商与分销商亨利·谢恩(Henry Schein)于10月遭遇ALPHV(BlackCat)发起的勒索软件攻击,导致运营中断。11月该公司又宣布遭遇新一轮攻击。截至本文撰写时,尚未确认第二起攻击事件中存在敏感数据泄露。10月的事件影响了多个国家众多牙科、医疗及动物保健机构,使其电子商务能力下降75%。

在第三方网络安全事件中更主动的4个步骤

2023年五大数据泄露事件给我们带来的启示是:必须始终领先于攻击者。除了我在上述泄露案例中提到的更具功能性的安全改进措施外,请确保您的供应商风险管理计划在2024年重点关注以下活动:

  1. 建立组织治理与协调机制。首先 对采购团队及/或流程进行全面审查。制定供应商评估启动流程,明确并审核合同条款,识别供应商产品引发违约或漏洞时的可用资源,确定合同签订后的供应商评估频率,并记录第三方审查程序。

  2. 定期审查第三方供应商。在供应商生命周期的多个节点开展 第三方风险评估 首先,制定一套第三方必须证明合规的管控措施清单。其次,根据内部安全需求和监管合规要求确定审查频率。最后,为处理当前未达安全要求的第三方供应商制定整改与仲裁流程。

  3. 要求提供软件安全声明 例如SBOM SOC 2 报告或ISO认证)作为基准。需准备评估开发者/供应商处理未来发现问题的能力,并获取制造商提供的"黄金映像"作为安全软件开发、打包和交付的证明。

  4. 利用风险评级。采用 提供 供应商风险评级或与其他行业组织相比的排名的技术服务。

下一步:观看网络研讨会

欲了解更多关于本年度最具影响力的第三方网络安全事件的经验教训,请观看我的点播网络研讨会《2023年五大最严重第三方网络安全事件的启示》。

请务必联系Prevalent公司,安排 演示会,了解他们如何助力贵机构强化第三方风险管理计划。

编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。

授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。