2025年Verizon数据泄露调查报告有个数字让安全团队睡不好觉:30%的泄露事件涉及第三方。不是防火墙没配好,不是员工点了钓鱼邮件,是客户财务团队偷偷注册的那个SaaS工具,是IT部门根本不知道存在的分包商。
攻击面已经变了。但大多数企业的防御姿态还停留在十年前。
「现代边界」是个过时的概念
传统安全策略围绕一个明确边界运转:防火墙守住城门,端点控制看管设备,身份系统验证谁可以进出。这套逻辑假设资产都在自家围墙内。
现在客户的数据住在第三方SaaS里,流经供应商API,被内部IT叫不出名字的分包商处理。安全不再止于自有基础设施,它蔓延到整个外部供应商生态——责任也跟着蔓延过去。
IBM 2025年数据泄露成本报告给出了更具体的痛感:第三方泄露的平均修复成本达到491万美元。这不是边缘风险,是现代商业运营的核心特征。
对主动的服务提供商来说,这种转变是个结构性机会。企业面对日益增长的第三方威胁,正在寻找能拥有、精简并持续管理整个第三方风险生命周期的战略伙伴。谁能站到这个位置,谁就能推出新服务、交付高价值咨询、把自己嵌入客户的安全与合规核心。
年度问卷填完就完事?监管不答应了
传统的供应商风险管理靠三张表:年度问卷、Excel表格、偶尔跟进的邮件。这套从来都不够,现在尤其显得昂贵。
CMMC、NIS2、DORA等监管框架大幅抬高了门槛。合规现在要求可证明的、持续的控制监督,而不是十二个月前的快照。董事会在追问供应商暴露面的硬问题。网络保险公司在出单前仔细审查供应链卫生状况。那些看着竞争对手吞下供应商泄露苦果的客户也明白了:「那不是我们的系统」这句话挡不住 liability。
市场正在回应。全球TPRM(第三方风险管理)支出预计从2024年的83亿美元增长到2030年的187亿美元。组织把供应商监督当作与事件响应、身份管理同级的治理职能。
Cynomi的新指南《Securing the Modern Perimeter: The Rise of Third-Party Risk Management》把这个趋势框得很清楚:TPRM不再是合规走形式,是前线安全挑战,也是MSP和MSSP的关键增长机会。
服务提供商的窗口期正在收窄
机会真实存在,但窗口不会永远敞开。
客户需要的不是另一个卖工具的,是能接管整个第三方风险生命周期的伙伴——从准入评估、持续监控、事件响应到合规报告。这要求服务提供商自己先完成能力升级:不是堆产品,是建流程、养专家、做集成。
那些能把TPRM变成可订阅服务的,能把供应商风险翻译成董事会语言的,能在泄露发生前48小时发出预警的,会成为客户离不开的「外部安全部门」。其余的,可能沦为报价单上的比价项。
Verizon的30%和IBM的491万,这两个数字放在一起读,像是在问一个问题:你的客户信任链上, weakest link 现在由谁在看?
热门跟贴