93%企業第三方服務成攻擊入口，傳統邊界防御已死？

如果你的安全策略還停留在“加固網絡邊界、嚴防外部入侵”，那么，是時候接受一個殘酷的現實了：攻擊者早就不再正面強攻你的防火墻，而是悄無聲息地從你的供應商后門、員工的個人手機，甚至一通AI偽造的CEO語音電話中長驅直入。

SoSafe發布的《2025網絡犯罪趨勢報告》用一組觸目驚心的數據撕開了行業的遮羞布：

• 93%的組織依賴第三方服務，每一個SaaS工具、API接口、支付供應商都可能是潛在的突破口

• 83%的安全專業人員遭遇過源于員工個人設備的安全事件

• 95%的組織目睹了多渠道攻擊（包括AI深度偽造）的顯著增長

這不是危言聳聽，而是正在發生的攻防現實。傳統的“企業邊界”概念已經死亡，而大多數安全團隊仍在用舊地圖尋找新戰場。

第三方供應鏈：你信任的每一個“合作伙伴”都可能是薄弱環節

93%——這個數字意味著，幾乎每一家企業都在通過第三方服務支撐核心業務。云存儲、協同辦公、支付網關、API對接……每一個外部依賴都是風險的倍增器。

SoSafe首席安全官Andrew Rose指出，攻擊者正越來越多地瞄準軟件和服務供應鏈，以放大攻擊規模和影響力——他們深知，這些供應商往往缺乏大型組織的防御資源和成熟度。

更可怕的是“第四方風險”：你的供應商的供應商。大多數安全團隊連自己的供應鏈地圖都畫不全，更別提對“第四方”施加任何影響力。而現實中，一次重大的供應鏈攻擊，往往就源自這條被忽視的隱形傳導鏈。

問題的本質在于：平均而言，安全團隊對供應鏈依賴關系的可見性極其有限，對供應商安全實踐的掌控力更是微乎其微。年度一次的安全問卷自評？在真實攻擊面前,這種形式主義不堪一擊。

BYOD：當“方便”成為“方便攻擊者”的代名詞

83%的組織報告了與員工個人設備相關的安全事件——這個數字足以讓每一位CISO警醒。

SoSafe CEO Niklas Hellemann一針見血：雖然員工在組織內部受到技術控制的保護，但他們的個人設備和賬戶往往處于脆弱狀態。保存密碼、打開公司文件、接收釣魚郵件……這些行為每天都在不受保護的設備上發生，而攻擊者只需要一次疏忽就能撬開企業大門。

十年前，BYOD(Bring Your Own Device)聽起來很創新。如今，它已演變為一個巨大的安全負債。MDM(移動設備管理)或EDR(端點檢測與響應)能起到一定作用，但當員工在個人設備上保存工作密碼、用私人郵箱轉發敏感文檔時，技術手段的防護邊界就已經失守了。

而且，攻擊者早已不滿足于傳統釣魚。95%的組織見證了多渠道攻擊的上升——先通過WhatsApp、微信建立信任，再用Microsoft Teams、企業微信、釘釘等辦公協作工具營造官方工作氛圍，最后用AI偽造的CEO語音電話完成致命一擊。2024年，攻擊者就曾使用AI語音克隆技術冒充某公司CEO，通過協同消息傳遞誘騙員工泄露敏感信息甚至轉賬。

這種“3D釣魚攻擊”是噩夢級別的威脅：你防御的不再只是一個收件箱，而是員工在任何地點、任何時間發生的每一次數字對話。

破局之道：全面“擁有”你擴大的攻擊面

零敲碎打的安全意識培訓、走過場的供應商問卷——這些措施在新型威脅面前已經失效。當94%的組織都在經歷多渠道攻擊策略的沖擊時，唯一可行的立場是持續懷疑和激進掌控。

以下四點，必須立即行動：

1. 對供應鏈審查毫不妥協

停止走形式的供應商安全審查。部署持續的、自動化的評估工具,而不是年度一次的自我證明。要求供應商透明披露其“第四方”依賴關系。如果供應商拒絕配合，果斷放棄合作——失去一個功能總好過招來一次入侵。

2. 從根本上重構BYOD策略

假設每一臺非托管設備都已被攻陷。強制實施容器化、零信任網絡訪問(ZTNA)和端點監控。讓“個人”設備真正個人化：業務數據不得離開受保護的環境——句號。

3. 培育“偏執型”威脅意識文化

定期的、基于真實場景的攻防演練不是錦上添花，而是最后一道防線。模擬多渠道、AI增強型釣魚攻擊。獎勵那些識破陷阱的員工，重點培訓那些險些“中招”的人。

4. 打破“責任外包”的幻覺

第三方和BYOD風險不只是CISO的事，而是每一位領導者的責任。將其納入采購流程、人力資源政策、供應商準入和應急響應機制。只要它接觸你的數據或員工，就是你的問題——沒有例外。

SoSafe的報告用冰冷的數據告訴我們一個事實：擴大的攻擊面不是你可以隔離、外包或用保險規避的東西，“看不見的”并不等于“沒威脅”。

撕掉蒙眼布，識別每一寸攻擊面，迫使第三方和員工接受你的“偏執”標準。否則，只是在等待你的名字出現在下一份安全事件報告里。

合作電話：18610811242

合作微信：aqniu001

聯系郵箱：bd@aqniu.com