41.4% 的勒索軟體攻擊來自「第三方」!企業如何透過 Domain 監測降低供應鏈風險
主機與網路, 資訊安全, 管理服務

【EASM 供應鏈篇】41.4% 的勒索相關攻擊來自「第三方」!企業如何用 Domain 監測降低供應鏈風險

首頁 » 【EASM 供應鏈篇】41.4% 的勒索相關攻擊來自「第三方」!企業如何用 Domain 監測降低供應鏈風險

▌41.4% 的勒索軟體攻擊,來自駭客利用第三方弱點作為入口滲透組織

供應鏈風險、第三方入侵、Domain(網域)監測、EASM(External Attack Surface Management|外部攻擊面管理),正在變成同一件事:外部看得到的入口,往往就是事件的起點。

根據 SecurityScorecard《2025 Global Third-Party Breach Report》觀察,有 41.4% 的勒索軟體/勒索相關事件涉及第三方作為切入點,也就是攻擊者往往先從供應商、外包商或合作夥伴的弱點取得立足點,再向內滲透到目標組織。這解釋了為什麼「供應鏈資安」不再只是合約條款,而是企業治理必答題。企業需要能夠持續掌握外部曝露面(網域、子網域、DNS、憑證、對外服務等),並建立可追蹤、可驗收的改善節奏。

為什麼駭客愛走第三方?因為這比硬闖主系統大門更容易

第三方之所以常成為入口,原因很現實:您的主系統可能管得很嚴,但供應商未必同等成熟。常見情況大致有三種:

  • 帳號與權限:外包商/維運商持有管理帳號或遠端連線權限,一旦被釣魚或密碼外洩,就能「合法登入」。
  • 網域與 DNS:供應商代管 DNS、代申請憑證、代上線活動頁,任何一個環節配置錯誤,都可能變成可被利用的入口。
  • 對外服務暴露:測試站、臨時站、子網域、外掛服務被遺忘在外網,常常比正式站更容易被掃到弱點。

所以供應鏈風險不是抽象概念,而是每天在用的「外包協作方式」本身就可能帶來的曝險。

▌Domain 監測是什麼?它不是「查 WHOIS」,而是盯住外網看得到的入口

Domain 監測指的是:用網域作為入口,把企業在外網可被看見的資產與配置狀態持續盤點,並把異常變成可追蹤的清單。

以目前政府推動的 EASM 外部曝險檢測風險類別來看,裡面包含的重點就很接近 Domain 監測會涵蓋的範圍,例如:電子郵件安全、憑證/SSL/TLS、安全、IP/域名聲譽、DNS 安全、DNS 健康狀態、網頁應用程式安全、漏洞修補、錯誤配置、暗網洩漏等。

換句話說:Domain 監測做得好,就更容易把「外部曝險」這件事說清楚、追得動。

企業為什麼該先做 Domain 監測?因為這最能解決「供應鏈風險的盲區」

供應鏈風險常卡在三個盲區:

  1. 資產不完整:您以為只有主站,但其實還有活動站、子網域、舊系統入口。
  2. 責任不清楚:DNS/憑證/郵件設定到底誰管?出了事才開始追。
  3. 沒有證據鏈:說「有在改善」,但沒有可驗收的紀錄(例如修補前後差異、複測結果)。

Domain 監測的價值在於,它比較容易建立一套固定節奏;Domain 是「對外識別」與「對外服務」的集合點,只要把 Domain 監測做起來,通常就能同時涵蓋:

  • DNS 設定與健康狀態(是否異常、是否有高風險配置)。
  • SSL/TLS 與憑證狀態(是否過期、是否弱配置)。
  • 郵件安全(SPF/DMARC 是否缺漏,是否容易被仿冒寄信)。
  • 網站安全配置(例如安全標頭、內容安全政策等常見缺口)。

EASM 與弱掃/滲透不同:EASM 更像「外網視角的總盤點」

EASM 強調「模擬駭客視角」去看外部曝險,並用整合式風險報告呈現(例如 A–F 等級、0–100 分數、風險面向、弱點數量等),再提供風險解讀與修補建議。供應鏈風險管理(TPRM|Third-Party Risk Management|第三方風險管理)之所以難,是在於企業需要先能「看見全貌」,才知道下一步該把弱掃/滲透資源用在哪些高風險入口,透過 EASM 先掌握全貌,再進行修補執行,高度提升效率、準確性與完整性。

▌ISO 27001:2022 A.5.36:把「供應商遵循規範」變成可驗證的證據

在供應鏈情境下,企業常遇到的問題不是「沒有規範」,而是規範如何落地、如何被查證。ISO 27001:2022 A.5.36 的精神,是要求組織在資訊安全上遵循既有政策、規則與標準;當供應商、外包商參與您的網站、DNS、憑證或維運工作時,實務上也需要把這些要求延伸到第三方的作業範圍,並建立可追溯的管理方式。

建議把供應鏈要求落在兩件事上:

  1. 先把「該遵循什麼」寫清楚:例如 DNS 與憑證管理規範、郵件驗證設定要求、對外服務開放原則、變更流程與回報機制等。
  2. 再把「有沒有做到」做成可驗證的證據:透過 Domain 監測/外部攻擊面盤點的固定檢查節奏,把異常、修補與複測結果留下紀錄,讓稽核或管理層能清楚看到改善進度與成果。

如此 A.5.36 就不會只停留在文件層,而是能在供應鏈協作中形成一套「可追蹤、可驗收」的落地機制。

▌Cloudmax 匯智能怎麼協助

如果您的需求是「把外部曝險與供應鏈風險管理做成可追蹤、可驗收的節奏」,Cloudmax 匯智用陪跑方式協助您落地:從外部曝險檢測結果解讀、修補優先序與追蹤方式,到複測驗收,讓跨部門與外包協作比較容易推得動。

👉 立即進行「11 大類別外部曝險健檢」:與顧問聊聊

修補不一定只能自己做,Cloudmax 匯智助您渡過修補難題

修補工作通常卡在「人力與時間」,若企業需要工程師進場協助修補,或修補項目分散在網站設定、伺服器、憑證、DNS 或多個供應商之間,內部難以整合資源,Cloudmax 匯智支援工程師進場代修補,我們將依風險項目與環境狀況評估可行範圍與費用。

Cloudmax 匯智以陪跑方式助企業完成 EASM 的檢測、解讀、修補追蹤與複測驗收,讓成果可被交付與驗收。

了解與預約外部攻擊面健檢:https://www.cloudmax.com.tw/product/easm-landing

Line@ 快速諮詢:https://lin.ee/gIHKvJh

資料來源:SecurityScorecard 2025 Global Third-Party Breach Report Reveals Surge in Vendor-Driven Attacks:https://securityscorecard.com/company/press/securityscorecard-2025-global-third-party-breach-report-reveals-surge-in-vendor-driven-attacks

Cloudmax 匯智資訊

Cherry Lan

歡迎轉載!請見:轉載原則

Image by Adobe Firefly