持续监控：弥补供应商风险管理中的安全漏洞

供应链是维系全球经济的纽带，同时也是网络安全相关商业风险的重要来源。2021年至2024年间，针对供应商的网络攻击激增431%。 他们在意料之中。 价格持续上涨。这对与他们有业务往来的企业来说是个坏消息。IBM 估计 第三方供应商泄露事件造成的数据泄露成本在所有事件类型中最高：每次泄露成本高达 4.9 万美元。

风险和网络安全领导者面临的挑战在于，现有的风险管理机制并不完善。它们可能效率低下、耗费资源，而且存在诸多盲点。真正的供应商风险管理源于持续的监督和控制。

供应链的不可阻挡的增长

复杂且分散的供应链是我们为全球贸易付出的代价。过去十多年来，为了满足消费者对更多选择和更低成本的需求（这主要得益于网络购物的爆炸式增长），供应链不断发展壮大。与此同时，得益于软件即服务 (SaaS)、托管服务提供商 (MSP) 的普及以及企业对更创新、更高效工作方式的需求，数字化供应链也经历了飞速发展。

结果如何？本应洞察一切的地方却一片漆黑，不断攀升的业务风险可能危及利润和来之不易的客户忠诚度。 评估即使是普通的中小企业也有800家供应商。如果把供应商的供应商也算进去，那数量就更多了。 数字很​​快达到 进入数千家企业。

一项高风险业务

这对首席信息安全官 (CISO) 及其团队来说是个坏消息，他们必须找到方法来管理庞大供应链带来的不可避免的网络安全风险。IBM 的数据显示，去年供应商和供应链的安全漏洞占数据泄露事件的 15%。 Verizon 据称，这一数字在过去一年中实际上翻了一番，达到30%。无论实际数字是多少，现实世界的事件都清楚地表明了它们可能造成的破坏。

外包商和专业服务公司等第三方可能会存储其客户组织的高度敏感的访问凭证和其他数据。这些数据可能包括受严格监管的客户和员工个人身份信息 (PII)、知识产权、商业秘密或非公开财务数据。所有这些都对网络勒索者极具吸引力，他们可能会窃取和/或加密这些数据以勒索赎金。据统计，到 2024 年，第三方数据泄露事件占勒索软件攻击总数的 41% 以上。 一项研究中.

随着供应商数量的激增，企业欺诈的风险也随之增加，例如通过商业电子邮件入侵 (BEC) 进行的欺诈。不法分子可能会向财务团队成员甚至高管发送钓鱼邮件，要求支付不存在的发票款项。他们通过入侵客户/供应商的电子邮件帐户来提高攻击的成功率，以便监控通信并了解发票的内容。BEC 造成的损失 向联邦调查局报告 去年网络犯罪造成的损失接近 2.8 亿美元，成为第二大收入最高的网络犯罪类型。

然后还有供应商的供应商。 2023报告 调查显示，半数受访机构与至少200家​​在过去两年中遭受过数据泄露的第三方存在间接联系。供应商规模越小，其在网络安全最佳实践方面的投入资源可能就越少。

人工智能是黑客的福音

网络犯罪分子正越来越多地利用人工智能技术来提高作案成功率。事实上，英国政府专家也指出，人工智能技术正被用于此类犯罪活动。 今年曾发出警告 该技术“几乎肯定会继续提高网络入侵行动的有效性和效率”。

我们可以从生成式人工智能如何帮助创建自然流畅的本地语言网络钓鱼活动，以及它如何帮助攻击者探测系统漏洞并选择攻击目标，甚至如何协助创建恶意软件和漏洞利用程序等方面看出这一点。报告警告称，正因如此，人工智能将在未来两年内导致“网络威胁的频率和强度增加”。

根据安全事件的类型和严重程度，供应商数据泄露对客户的影响范围很广，从财务和声誉损失到监管风险和运营中断不等。事件未被发现的时间越长，攻击者在网络中活动的时间就越长，最终清理和恢复的成本也就越高。不幸的是，据 IBM 称，供应链安全漏洞的解决耗时最长。

最近披露的一起针对年收入数百万美元的业务流程外包 (BPO) 供应商 Conduent 的重大勒索软件攻击事件就是一个典型的例子。据报道，超过 11 万美国人的社会安全号码、医疗保险信息和医疗信息可能已被泄露。 报告尽管该公司直到 2025 年 11 月才接到通知，但据信其环境早在 2024 年 10 月就已经遭到破坏。

为什么持续监测很重要

幸运的是，人工智能也能帮助企业克服供应商网络风险管理中常见的挑战。许多企业仍然深受缓慢的人工流程和冗长的问卷调查之苦，这些流程和问卷不仅造成延误，还导致信息盲区。供应商文档的不一致使得企业难以比较整个生态系统中的风险评分，也难以了解对企业而言最重要的因素。

相反，采用以数据和人工智能为中心的方法，企业可以利用自动化技术来完成繁重的工作，无论是在供应商入驻阶段还是后续阶段。后者至关重要，因为风险并不会随着供应商获得批准而结束。风险会持续演变，甚至可能每小时或每天都会随着新的软件漏洞、数据泄露或账户配置错误而变化。供应商可能会投资新的基础设施，从而扩大其网络攻击面。他们可能会增加新的供应商，从而改变风险敞口。而且，他们还可能成为新型威胁行为者攻击的目标。

所有这些都要求我们采取更积极主动的第三方风险管理方法，这不仅仅局限于收集和处理供应商调查问卷和文件。它应该侧重于实时识别风险，以便组织能够在造成任何损失之前迅速采取行动。

人工智能入门

要实现对供应商网络风险的这种全方位、持续的洞察，需要大量数据以及能够识别可疑模式的智能算法。高质量数据越多，可视性就越好。这可能包括威胁情报源，用于搜寻暗网论坛上泄露的早期预警信号；也可能包括漏洞监控，用于突出显示供应商系统中缺失的安全更新；还可能追踪供应商财务部门电子邮件被入侵的迹象，这可能预示着即将到来的商业电子邮件诈骗（BEC）攻击；甚至可能追踪涉及这些供应商的可疑交易模式。

人工智能可用于实时识别关键风险，以便立即采取行动。此外，它还能根据客户政策、供应商的经营状况以及对业务的重要性，自动为每个供应商分配一个持续更新的风险评分。

智能体人工智能也可以成为强大的助力，自主运行，摄取并分析复杂的供应商文档，例如 SOC 2 报告和内部安全策略，并将控制措施映射到 NIST CSF 或 ISO 27001 等既定框架。这可以在几分钟内（而非几小时）提供合规性可见性，从而让安全和风险团队腾出时间处理更高价值的任务。在成熟的组织中，人工智能代理还可以独立运行，解决和修复日常问题，或者至少将问题路由给合适的团队成员以便及时处理。

把它一起

关键在于确保供应商网络风险管理系统统一，避免风险数据孤立分散、无法利用。理想情况下，同一平台还应支持其他类型的供应商风险管理，涵盖合规、可持续发展、财务和运营等领域。这将提供有助于企业做出更明智决策的信息。

最重要的是，要记住网络风险本质上就是商业风险。它永远无法完全消除，但可以更有效地进行管理。