首席信息安全官 (CISO) 花费了无数时间思考如何防御,包括:巩固网络、强化终端、保护应用程序以及守护云环境免受一波又一波的攻击。作为一个行业,我们总共投入了几十亿美元来跟上形势,从传统恶意软件到由生成式人工智能 (GenAI) 增强的复杂攻击。
但即使是准备最充分的战略也存在盲点 — 这个盲点越来越危险,因为它并不完全在我们的掌控之中 — 我们的第三方生态系统及其庞大的供应商、分销商、经销商、服务提供商甚至客户网络。它们共同构成了全球商业的循环系统。每个节点都代表着威胁行为者的潜在切入点,这些人深知一个根本而又令人不安的事实:无论我们的内部防御多么先进,我们的实力都取决于供应链中最薄弱的环节。
如果你想的是:“我们已经全都搞定了”,那我强烈建议你再想一想。是的,许多企业将第三方风险纳入了其审计清单。是的,这些企业将合规性报告作为衡量供应商是否健全的指标。但我们必须明确一点:这样做并不是为了安全,而只是墨守成规。
近十年前,在另一种环境 — 虚拟化环境中的虚假安全感方面,我们就曾被警告过这种自满情绪。当时,除非架构中的每个组件都同样先进,否则整个系统本质上还是脆弱的。同样的原则也适用于这里:静态、过时的第三方风险应对方法既不充分,又十分危险。除非我们将供应链安全视为一项紧迫的、持续的课题,否则整个企业都将面临风险。
需要什么?时刻警惕和数据
供应链中的网络安全不能被视为定期的演练。监控、管理和维护安全必须是一个持续的、永不松懈的课题。静态审计和年度合规性审查可能会让监管机构满意,但对于阻止零日利用或快速移动的供应链漏洞却几乎无能为力。如果系统的每一个元素都不属于新一代,结果就是不安全,最终导致不可行。2025 年 Unit 42 事故响应报告的调查结果强调了这种持续方法的重要性,因为报告显示,在 75% 的事故中,日志都存放了初始入侵的关键证据。然而,由于系统复杂、脱节,这些信息不易获取,也无法有效操作,从而使攻击者能够利用未被发现的缺口。这就凸显了一个关键的脱节:线索往往就在身边,但墨守成规的方法却无法及时将其发现。
这种情况我们已经见怪不怪了,而且在未来的许多年里还会发生。然而,尽管有了这些攻击的惨痛教训,许多企业仍然将第三方风险视为采购清单上的一个项目 — 一份年度供应商问卷,而不是一个活生生的威胁面。
这是一个危险的误解。供应链风险不会等到审计季节才出现。它们会实时演变,而我们的防御也必须如此。
我们能够(并且应该)对供应链风险做些什么
CISO 必须倡导从定期供应商检查转变为对每种第三方关系进行持续、实时的风险监控。如果做不到这一点,就会面临运营中断的风险,并在董事会上引发一些令人不舒服的对话,同时监管机构也会提出严厉的问题,询问为什么已知的漏洞没有得到解决。
事实上,我们已经依赖静态审计和合规检查表太久了。这些或许足以应付过去的风险,但如今的威胁形势却瞬息万变。因此,我们需要对供应链漏洞进行超精准、实时的洞察,根据情况的变化随时更新。
这是一个意义重大的任务,需要在工具、人才和时间方面进行真正的投入。幸运的是,CISO 拥有一个强大的均衡助手:AI 和自动化。GenAI、预测模型和高级机器学习就是为应对这一挑战量身定制的。AI 可以扫描海量的数据 — 过去的事件、公开披露、认证、行为信号,为生态系统中的每个供应商建立动态的安全档案。它可以跟踪态势变化,标记新出现的风险,生成有意义的、可量化的风险评分。
自动化进一步放大了这一点。鉴于熟练的网络安全专业人士持续供不应求,自动化让工作事半功倍 — 持续评估第三方风险,在出现异常时加快响应速度。先进的、情境感知的分析技术确保在攻击横向蔓延到您的环境之前就被识别并化解。
这既关乎效率,也关乎是否必要。攻击的爆发时间只有几分钟,而不是几个月。自动警报分流可能是遏制攻击与酿成灾难之间的分水岭。当分秒必争时,您肯定不希望由人工操作员来分析电子表格。您需要的是由 AI 增强的系统,能够实时检测、决策并部署防御措施。
底线:防患于未然
CISO 不能再盲目信任供应商了。未来需要更敏锐的洞察力:无与伦比的可视性、实时评估以及对供应链中每个供应商、每个合作伙伴和每个环节的严格问责。
第三方风险必须成为董事会层面整体网络安全战略的一部分。它不能孤立在采购部门手中,也不能委派给合规团队。董事会必须了解供应链安全如何提升企业整体韧性,并确保其与更广泛的风险规划、业务连续性工作和监管准备工作紧密结合。现在就构建韧性,因为在这种新的威胁环境下,犹豫不决必将导致业务中断。
想知道自己的供应链风险吗?不妨看看我们的供应链风险评估。
