据blackkite.com报道,网络安全风险正以远超传统认知的方式在供应链中扩散——一次供应商网络攻击平均波及5.28家下游受害组织,创Black Kite有记录以来最高级联倍数;同时,全球2000强企业共用的前50家顶级供应商中,70%存在CISA已知漏洞(KEV)未修复问题,62%在暗网泄露过凭证。
合规驱动型SCRM的三大盲区
Black Kite指出,当前多数企业的“合规优先”式网络供应链风险管理(C-SCRM)存在系统性缺陷:
- 框架定义流程,而非真实态势:如NIST SP 800-161等标准仅规定应部署哪些控制措施,但无法反映供应商生态中正在发生的实际风险(如漏洞利用、凭证泄露、勒索软件活跃扫描等);
- 评估仅提供快照:问卷调查与周期性审核仅捕捉某一时刻状态,而供应商补丁状态、员工凭据安全性、攻击者对工业与物流行业的定向活动均持续动态演变;
- “打勾式”合规不等于可见性:完成C-SCRM框架检查清单,不等于掌握供应链真实的网络风险暴露面;文档合规与实时风险可视性之间的鸿沟,正是风险长期被忽视的根源。
被忽视的两大核心威胁:级联风险与集中风险
Black Kite强调,最具破坏性的供应链网络事件并非源于单一薄弱环节,而是通过连接关系蔓延扩散。其2026年第三方数据泄露报告首次量化两类关键隐性风险:
- 级联风险(Cascading Risk):指某一级供应商遭遇网络事件后,风险沿数字依赖链向上传导至客户系统、下游客户系统,乃至所有共享同一底层服务商(如软件供应商或云平台)的组织。据Black Kite研究,每次供应商 breach 平均导致5.28家下游组织受害,且该数字为历史峰值;
- 集中风险(Concentration Risk):指多个供应商共同依赖同一底层技术、基础设施或Nth方提供商,形成隐蔽单点故障。Black Kite 2026年数据显示:全球2000强企业共用的前50家顶级供应商中,70%至少存在一个CISA KEV目录中的未修补漏洞,62%在暗网存在凭证泄露记录。高集中度下,一次攻击即可同步瘫痪整条链条。
Nth方可见性:穿透至第四、第五及更深层依赖
Black Kite指出,绝大多数供应链风险管理止步于直接供应商(Tier-1),但真实风险延伸至第四方、第五方乃至更深层:包括供应商所依赖的共享云环境、通用开发工具、开源组件、托管服务提供商及地缘政治敏感区域的技术平台。其Supply Chain模块可自动映射第四、第五及Nth方关系,识别隐藏依赖与集中风险节点,支撑从框架合规转向持续、动态的风险管理。
勒索软件易感性指数与FocusTags®实时告警
为应对勒索软件对供应链的系统性冲击,Black Kite推出Ransomware Susceptibility Index®(RSI™),基于技术指标(如暴露端口、未修补漏洞)与行为指标(如域名注册异常、历史遭勒索记录)评估供应商被勒索攻击的可能性。此外,其FocusTags®功能可在真实网络事件(如MOVEit漏洞利用、CrowdStrike蓝屏事件)发生时,即时标记受影响供应商,使客户在事件爆发初期即获知自身生态中哪些供应商处于暴露状态,从而快速响应。原文数据显示,Black Kite客户在上述两次重大事件中均实现了供应商风险暴露的实时识别。
本文编译自海外媒体报道,由 SCI.AI 编辑团队整理发布。
