金融机构锁紧了前门，却让后门敞开着

金融机构正在构建更强大的金融机构防御体系以抵御直接的网络攻击，但它们可能忽视了一个日益严重的锁紧问题 ：其供应商。根据Black Kite的前门却让最新报告 ，第三方风险已成为金融行业面临的后门最大网络安全威胁之一
。

供应商的敞开盲点

报告发现 ，尽管金融机构自身在防范勒索软件和其他威胁方面做得越来越好，金融机构但它们所依赖的锁紧公司，包括软件提供商、前门却让基础设施合作伙伴和外部服务公司，后门往往达不到相同的服务器租用敞开安全标准，这使银行  、金融机构保险公司和其他金融机构即使未被直接攻击
，锁紧也处于风险之中。前门却让

“我们的后门研究发现，尽管针对金融行业的敞开直接攻击似乎在减少 
，但这个行业远未安全
，”Black Kite的首席研究与情报官Ferhat Dikbiyik表示
，“一个必须解决的关键领域是第三方风险，我们在供应商公司中发现了许多弱点
，现实情况是建站模板，它们的防御能力和监管义务与金融行业不同 ，一旦这些供应商被攻破，影响可能是广泛而重大的
。”

攻击者正在转变策略

研究数据显示 ，针对金融公司的直接勒索软件攻击数量正在下降，从2023年的191起降至2025年上半年的55起 ，这是个好消息，但并不意味着攻击者放弃了，高防服务器相反，许多攻击者开始瞄准供应商  ，这些公司可能成为进入金融机构的后门。

这种转变部分是由于勒索软件格局的变化，像LockBit和AlphV这样的大型团体已被瓦解 ，它们的缺席为更小、组织更松散的参与者使用勒索软件即服务(Ransomware-as-a-Service)工具提供了空间。研究人员表示 ，这使得生态系统更加碎片化和不可预测，新的源码库团体试图通过利用较弱的环节(往往是第三方)来碰运气 。

供应商安全状况堪忧

Black Kite分析了为金融行业客户提供服务的140家供应商 ，发现：

• 92%的供应商在信息披露风险方面获得了C、D或F级，表明供应商在处理敏感数据方面存在广泛问题。

• 65%的供应商未保持最新的补丁级别，使它们容易受到已知漏洞，甚至零日漏洞的攻击。

• 31家供应商至少存在一个CVSS评分达到8或以上的香港云服务器关键漏洞 ，其中15家的漏洞评分超过9。

• 90家供应商被标记为高风险威胁类别
，包括35家被标记为存在已知被利用漏洞(KEV)的供应商。

CISO不能仅因供应商在金融行业工作或与之合作，就假定其安全“足够好” ，许多供应商甚至未能达到基本的安全卫生标准
。

对CISO的建议

主要结论很明确 ：强大的内部防御是不够的 ，CISO需要将注意力转向第三方风险管理：

• 识别并绘制所有供应商关系图，模板下载包括小型供应商和基础设施合作伙伴。

• 定期评估供应商的安全状况
 ，必要时使用风险评级和更深入的尽职调查。

• 持续监控供应商风险的变化，而不仅仅是进行点对点的评估 。

• 与采购和法律团队紧密合作，在供应商合同中强制执行网络安全标准。