第三方风险统计与智能监控解决方案

本文深入分析2025年第三方风险统计数据,揭示供应链安全面临的严峻挑战,探讨传统风险评估的局限性,并提出基于实时威胁情报的持续监控解决方案,帮助企业构建更强大的供应链安全防御体系。

主要要点

  • 第三方风险正在升级。2024年,30%的数据泄露涉及第三方供应商,是前一年的两倍
  • 静态评估已不足够。基于问卷的审计只能提供过时的快照,使组织在审查周期之间对不断演变的威胁视而不见
  • 持续的、情报主导的监控至关重要。对供应商外部安全状况的实时可见性能够实现更快的检测、客观的风险评分和主动防御
  • Recorded Future的第三方情报填补了空白。通过持续跟踪超过500万家组织和100万种技术产品,它为安全团队提供了应对新兴供应链威胁所需的数据驱动洞察

现代供应链:不断扩大的攻击面

数字供应链经历了深刻的转型。曾经由少数可信供应商组成的小型网络已演变成一个庞大、互联的技术、平台和数据流网络。

云提供商现在托管着关键任务基础设施。SaaS平台处理敏感数据。托管服务提供商、分包商和开源库构成了日常运营中看不见的支柱。这些关系中的每一个都扩大了攻击面,引入了新的依赖关系和新的漏洞。

今天的单个供应商可能依赖数十个其他供应商,每个供应商都有自己的第三方和第四方关系。结果是形成了一个包含数千个潜在入口点的生态系统,其中许多超出了组织的直接视线范围。这些依赖关系通常在第一层之外是不可见的,使企业暴露在可能甚至不知道存在的风险中。

网络犯罪分子理解这一点。供应链入侵已成为攻击者的首选策略,因为入侵供应商通常比直接针对组织更容易且更具可扩展性。通过入侵一个可信连接,对手可以在原始漏洞甚至被发现之前就转向数十个下游受害者。

这个不断扩展的生态系统需要一种新方法。保护现代数字供应链需要持续的、情报主导的可见性,提供对每个合作伙伴和供应商安全状况的外部实时视图。只有通过持续的数据驱动洞察,组织才能发现隐藏的暴露点,并在小弱点变成系统性故障之前检测到新兴威胁。

不可避免的真相:2025年关键第三方风险统计

每年,与供应商相关的泄露数量、成本和复杂性持续上升,暴露出传统风险管理无法控制的弱点。以下第三方风险统计说明了问题变得多么普遍,以及为什么迫切需要一种新方法。

频率和数量

第三方泄露不再是孤立事件。它们正在成为现代威胁格局的一个决定性特征。

根据Verizon最新的数据泄露调查报告,30%的泄露涉及第三方供应商,是前一年的两倍。然而,由于漏报和错误分类,特别是在泄露发生在供应商生态系统深处几层时,这个数字可能保守。

财务影响

根据IBM的2024年数据泄露成本报告,第三方泄露的平均成本超过508万美元。受严格监管的行业如医疗保健和金融面临更高的成本。

泄露的真实财务影响超出了初始响应,包括收入损失、网络保险费增加以及导致客户流失的声誉损害。在高调的供应链事件后,组织可能还需要进行昂贵的营销和公关工作来恢复信任。

驻留时间——从初始入侵到检测之间的持续时间——加剧了这些成本。2024年,驻留时间超过200天的组织面临的平均泄露成本为501万美元。

Gartner研究显示,第三方泄露的修复成本比源自组织自身系统的泄露高出约40%,这是因为管理跨越多个实体、法律管辖区和数据环境的事件具有额外的复杂性。当泄露涉及个人身份信息(PII)、PHI或支付卡数据时,随着监管处罚和法律风险的增加,成本可能进一步攀升。

隐藏的危险:第四方和第N方风险

现代供应链远远超出了组织直接管理的供应商。每个第三方关系都由其自己的第四方和第N方网络——分包商、技术提供商和云服务——支撑。这些间接依赖关系造成了大多数组织既看不到也无法控制的暴露。

根据Whistic的2024年第三方风险管理影响报告,一半的公司与超过100家供应商合作,高于2023年的38%。根据Cyentia研究所的数据,对于供应链中的每个第三方供应商,组织通常与近14倍的第四方和第五方有间接关系。

这些数字突显了互联风险的增长。每个新供应商引入了数十个看不见的连接,这些连接中的每一个都可能成为攻击者的入口点。影响可以通过共享平台、API和服务提供商迅速级联,影响多个层级的合作伙伴和客户。

2023年的MOVEit泄露是一个典型例子。始于一个文件传输应用程序中的单个漏洞迅速传播到数千个组织,从银行和大学到政府机构。许多受影响者从未与受感染供应商有直接合同。

为什么传统第三方风险评估正在失败

对许多组织而言,第三方风险管理仍然依赖于十年前使用的相同工具和策略——静态清单、自我报告的问卷和定期审计。这些方法是为更慢、更可预测的供应商环境设计的。今天,它们根本无法与现代供应链的规模和互联性相匹配。

供应商问卷和清单仅与提供的答案一样好。信息常常过时、不完整或不准确,使安全团队产生虚假的保证感。这些评估可能捕捉到供应商安全在某个时间点的状况,但攻击者不会等待你的下一次预定检查。审计之间的每一天都是对手利用新发现的漏洞或错误配置的另一个机会。

静态评估程序也缺乏有效监控数百或数千家供应商所需的规模和速度。随着供应商生态系统的扩展,传统方法根本无法跟上当今威胁环境的动态性质。

数据突显了这些传统方法变得多么紧张:

  • 44%的组织每年评估超过100家第三方,但只有4%的组织高度相信其第三方问卷准确反映了现实世界风险
  • 近四成公司为不同风险领域使用多个问卷,每年平均向第三方发送55份问卷

这些数字揭示了一个令人不安的悖论:组织花费比以往更多的时间评估供应商,但获得的清晰度却比以往任何时候都少。没有持续的、情报主导的可见性,即使是最勤奋的第三方风险计划也是落后一步,衡量的是合规性而不是管理风险。

从评估转向情报:更好的方法

传统的第三方风险评估暴露了后见之明的局限性。情报主导的监控提供了前瞻性的优势。

静态问卷停留在供应商最后自我报告的状态,当对手按小时行动时,这很快变得过时。相比之下,基于情报的方法向外查看反映供应商实时真实安全状况的实时信号、行为模式和威胁活动。

核心转变是从评估情报

  • 评估捕捉供应商对其防御的说法
  • 情报揭示攻击者看到的内容(通常是供应商尚不知道的内容)

这种变化不仅仅是流程升级;它是组织管理供应链安全方式的演变。持续的、情报主导的监控用跨供应商生态系统每个层级的持续数据驱动可见性取代了静态快照。

通过从开放网络、暗网和技术遥测中获取指标,组织可以在漏洞或新兴漏洞利用讨论发生时识别它们——而不是在事实发生数月后。优势很明显:

  • 主动 vs 被动:情报将第三方风险从响应转向预防,允许团队在问题演变成泄露之前识别问题
  • 客观 vs 主观:真实世界数据取代自我证明,基于可观察证据而非供应商声明做出风险决策
  • 全面可见性:持续监控提供对每个供应商数字足迹的攻击者视角,发现传统审计遗漏的盲点

Recorded Future第三方情报如何提供持续、情境化的洞察

Recorded Future的第三方情报体现了这种现代方法。它提供从最广泛数据源(包括暗网监控、技术遥测和验证的威胁情报)派生的实时风险评分和可操作警报。这些洞察集成到现有风险管理工作流中,将静态监督转变为活的、适应性防御。

核心能力包括:

  • 持续监控:跟踪超过500万家组织和100万种技术产品的泄露、恶意流量、勒索软件敲诈和暗网讨论
  • 外部风险评分:使用机器学习和NLP分析来自数十万个开放、暗网和技术来源的数据,生成量化供应商暴露的动态风险评分
  • 暗网和威胁情报:在披露之前识别数据泄露、受损凭证和围绕供应商泄露的讨论
  • 比较性供应商评估:支持供应商的并排比较,以优先考虑采购和入职决策
  • 利益相关者报告:为领导和董事会报告提供全面、情境丰富的风险概况
  • API集成:与现有TPRM、GRC和工单平台连接,将风险数据馈送到既定工作流
  • 内部实体和子公司的自动映射:评估源自供应商技术基础设施、子公司关系和地理足迹的风险
  • 自定义警报:允许团队定义警报标准(例如供应商泄露、新暴露)并仅关注最相关的风险

客户成果包括:

  • 对潜在威胁的可见性平均提高73%
  • 评估新供应商或供应商的时间减少32%
  • 评估的第三方增加35%
  • 安全团队容量平均提高43%

我们检测第三方网络泄露的时间已大幅减少。以前,我们要么直接由第三方通知,要么通过新闻媒体或监管报告得知,这意味着我们可能需要几天甚至几周才能意识到。有了Recorded Future,我们已能在1-2天内识别第三方问题。

高级工程师

网络安全事件管理,保险公司

证据很清楚:被动监督使组织对其供应链中已经在移动的威胁视而不见。持续的、情报驱动的方法改变了这个等式。通过将实时可见性与可操作洞察相结合,安全和风险团队可以早期检测供应商威胁,更快响应,并减少供应链攻击的财务和声誉影响。

不要等到下一次第三方泄露成为另一个统计数字。预约演示,了解Recorded Future的第三方情报如何帮助组织领先于快速演变的风险。

常见问题解答

什么被认为是第三方风险?

第三方风险是由访问您数据、系统或网络的外部供应商、供应商、合作伙伴或承包商对您组织的安全、财务或声誉造成的任何潜在威胁。这包括源自您供应链的风险,如数据泄露、运营中断和合规违规。

第三方风险的主要类型有哪些?

主要类型包括网络安全风险(数据泄露、恶意软件)、运营风险(服务中断)、合规风险(违反GDPR或CCPA等法规)、声誉风险(通过关联损害您的品牌)和财务风险(收入损失、监管罚款)。

应多久进行一次第三方风险评估?

虽然传统最佳实践是每年进行评估,但当前威胁环境要求转向持续监控。依赖年度、时间点评估会留下重大的安全缺口,供应商的风险状况可能在没有您知道的情况下发生变化。

Recorded Future如何帮助第三方风险评估?

Recorded Future的第三方情报解决方案将风险评估从静态、手动过程转变为动态、数据驱动过程。它通过监控数百万个来源(包括暗网)提供对您供应商外部安全状况的持续实时情报。这使您能够主动识别威胁,通过客观评分优先考虑风险,并在漏洞影响您组织之前采取行动。

改进第三方风险管理计划的第一步是什么?

第一步是获得对整个供应商生态系统的完全可见性。您无法保护您不知道拥有的东西。这涉及识别访问您数据或系统的每个第三方和第四方,然后开始根据其访问级别和对您运营的关键性来优先排序它们的过程。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次