金融機構正在構建更強大的防御體系以抵御直接的網絡攻擊，但它們可能忽視了一個日益嚴重的問題：其供應商。根據Black Kite的最新報告，第三方風險已成為金融行業面臨的最大網絡安全威脅之一。

供應商的盲點

報告發現，盡管金融機構自身在防范勒索軟件和其他威脅方面做得越來越好，但它們所依賴的公司，包括軟件提供商、基礎設施合作伙伴和外部服務公司，往往達不到相同的安全標準，這使銀行、保險公司和其他金融機構即使未被直接攻擊，也處于風險之中。

“我們的研究發現，盡管針對金融行業的直接攻擊似乎在減少，但這個行業遠未安全，”Black Kite的首席研究與情報官Ferhat Dikbiyik表示，“一個必須解決的關鍵領域是第三方風險，我們在供應商公司中發現了許多弱點，現實情況是，它們的防御能力和監管義務與金融行業不同，一旦這些供應商被攻破，影響可能是廣泛而重大的?！?/p>

攻擊者正在轉變策略

研究數據顯示，針對金融公司的直接勒索軟件攻擊數量正在下降，從2023年的191起降至2025年上半年的55起，這是個好消息，但并不意味著攻擊者放棄了，相反，許多攻擊者開始瞄準供應商，這些公司可能成為進入金融機構的后門。

這種轉變部分是由于勒索軟件格局的變化，像LockBit和AlphV這樣的大型團體已被瓦解，它們的缺席為更小、組織更松散的參與者使用勒索軟件即服務(Ransomware-as-a-Service)工具提供了空間。研究人員表示，這使得生態系統更加碎片化和不可預測，新的團體試圖通過利用較弱的環節(往往是第三方)來碰運氣。

供應商安全狀況堪憂

Black Kite分析了為金融行業客戶提供服務的140家供應商，發現：

? 92%的供應商在信息披露風險方面獲得了C、D或F級，表明供應商在處理敏感數據方面存在廣泛問題。

? 65%的供應商未保持最新的補丁級別，使它們容易受到已知漏洞，甚至零日漏洞的攻擊。

? 31家供應商至少存在一個CVSS評分達到8或以上的關鍵漏洞，其中15家的漏洞評分超過9。

? 90家供應商被標記為高風險威脅類別，包括35家被標記為存在已知被利用漏洞(KEV)的供應商。

CISO不能僅因供應商在金融行業工作或與之合作，就假定其安全“足夠好”，許多供應商甚至未能達到基本的安全衛生標準。

對CISO的建議

主要結論很明確：強大的內部防御是不夠的，CISO需要將注意力轉向第三方風險管理：

? 識別并繪制所有供應商關系圖，包括小型供應商和基礎設施合作伙伴。

? 定期評估供應商的安全狀況，必要時使用風險評級和更深入的盡職調查。

? 持續監控供應商風險的變化，而不僅僅是進行點對點的評估。

? 與采購和法律團隊緊密合作，在供應商合同中強制執行網絡安全標準。