Black Kite第七份年度第三方資料外洩報告的最新資料顯示，2025年第三方網路安全事件規模空前，共發生136起重大資料外洩事件，影響了719家已公開身分的公司，另有約2.6萬名下游受害者身分不明。分析發現，平均每起資料外洩事件造成5.28名下游受害者，創歷史新高，凸顯了攻擊者日益將目標對準共享平台和高依賴性供應商，將單一攻擊演變為席捲整個供應鏈的連鎖反應。

報告強調，儘管近20萬家受監控機構的網路安全等級總體較高，但第三方生態系統仍存在持續的結構性缺陷。超過一半的公司至少存在一個嚴重漏洞，近四分之一的公司存在企業憑證在暗網上流傳的情況，而福布斯全球2000強企業生態系統中最受信賴的供應商則更容易遭受已知漏洞利用和憑證洩露的侵害。這種集中風險，加上平均10天和73天的緩慢檢測和揭露時間，為大規模、級聯式故障的發生創造了溫床，而傳統的第三方風險管理方法難以應對此類故障。

2025年的數據顯示，傳統的第三方風險管理已無法應對不斷變化的威脅情勢。由於資訊揭露的中位數延遲時間為73天，且下游受害者人數超過26,000人且身分不明，等待資料外洩通知已不再可行。進入2026年，各組織需要從被動回應轉向持續情報和系統性可視性。

• 首先，風險集中在生態系統的核心。一小部分高度共享的供應商（被稱為「精英50」）承擔著不成比例的風險敞口。企業需要繪製共享平台和服務中的風險集中圖，並識別出那些一旦受損就會引發連鎖故障的核心節點。自動化供應鏈發現和第三方映射可以揭示這些依賴關係，並精確定位風險集中度最高的區域。
• 其次，安全漏洞偵測與公開揭露之間的時間差會造成一個危險的「隱形視窗」。靜態問卷和定期網路安全評級只能提供快照，而最具破壞性的活動往往發生在長達73天的暴露延遲期內。持續監控，重點在於活躍威脅訊號，例如竊取日誌的暴露和目標定位指標，可以實現更早的干預，尤其是在結合資產層面的漏洞可見性，能夠更早發現並應對活躍威脅時。
• 第三，補救措施應重點關注勒索軟體易受攻擊且修補程式管理薄弱的高風險產業。即使評級較高，也不代表完全消除技術風險。存在未修復的已知漏洞或身分資訊外洩跡象的供應商，仍可能面臨較高的勒索軟體風險。利用勒索軟體易受攻擊指數來決定宣傳工作的優先順序，有助於將精力集中在攻擊機率最高的領域。
• 第四，身分外洩已成為主要風險因素。在竊取日誌中，62% 的關鍵供應商都揭露了企業憑證，因此供應商的身分和存取管理實務亟需嚴格審查。持續監控憑證外洩並快速發出警報，有助於更快地遏制風險，包括在影響擴散之前撤銷存取權限和下游封鎖。
• 最後，企業必須超越以合規為導向的監管，轉而提升營運韌性。大型企業供應商的系統可能過於複雜或根深蒂固，難以快速修復。因此，企業需要針對關鍵共享服務（例如客戶關係管理平台或託管文件傳輸系統）的故障制定應急計劃。基於情境的風險評估，透過模擬財務和營運影響，可以論證對內部冗餘和事件應變準備的投資是合理的。

資料來源：https://industrialcyber.co/reports/manufacturing-supply-chains-face-cascading-cyber-risk-as-third-party-breaches-hit-record-levels-black-kite-report/