供应商的盲点

报告发现，尽管金融机构自身在防范勒索软件和其他威胁方面做得越来越好，但它们所依赖的公司，包括软件提供商、基础设施合作伙伴和外部服务公司，往往达不到相同的安全标准，这使银行、保险公司和其他金融机构即使未被直接攻击，也处于风险之中。

“我们的研究发现，尽管针对金融行业的直接攻击似乎在减少，但这个行业远未安全，”Black Kite的首席研究与情报官Ferhat Dikbiyik表示，“一个必须解决的关键领域是第三方风险，我们在供应商公司中发现了许多弱点，现实情况是，它们的防御能力和监管义务与金融行业不同，一旦这些供应商被攻破，影响可能是广泛而重大的。”

攻击者正在转变策略

研究数据显示，针对金融公司的直接勒索软件攻击数量正在下降，从2023年的191起降至2025年上半年的55起，这是个好消息，但并不意味着攻击者放弃了，相反，许多攻击者开始瞄准供应商，这些公司可能成为进入金融机构的后门。

这种转变部分是由于勒索软件格局的变化，像LockBit和AlphV这样的大型团体已被瓦解，它们的缺席为更小、组织更松散的参与者使用勒索软件即服务(Ransomware-as-a-Service)工具提供了空间。研究人员表示，这使得生态系统更加碎片化和不可预测，新的团体试图通过利用较弱的环节(往往是第三方)来碰运气。

供应商安全状况堪忧

Black Kite分析了为金融行业客户提供服务的140家供应商，发现：

• 92%的供应商在信息披露风险方面获得了C、D或F级，表明供应商在处理敏感数据方面存在广泛问题。

• 65%的供应商未保持最新的补丁级别，使它们容易受到已知漏洞，甚至零日漏洞的攻击。

• 31家供应商至少存在一个CVSS评分达到8或以上的关键漏洞，其中15家的漏洞评分超过9。

• 90家供应商被标记为高风险威胁类别，包括35家被标记为存在已知被利用漏洞(KEV)的供应商。

CISO不能仅因供应商在金融行业工作或与之合作，就假定其安全“足够好”，许多供应商甚至未能达到基本的安全卫生标准。

对CISO的建议

主要结论很明确：强大的内部防御是不够的，CISO需要将注意力转向第三方风险管理：

• 识别并绘制所有供应商关系图，包括小型供应商和基础设施合作伙伴。

• 定期评估供应商的安全状况，必要时使用风险评级和更深入的尽职调查。

• 持续监控供应商风险的变化，而不仅仅是进行点对点的评估。

• 与采购和法律团队紧密合作，在供应商合同中强制执行网络安全标准。

企业网D1net(www.d1net.com)：

国内头部to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。