研究发现,几乎所有 (96%) 欧洲最大的金融服务机构均已受到第三方组织的安全漏洞影响。根据报告作者 SecurityScorecard ,这一比例比两年前进行的相同调查时高出 25% 。
这家风险管理公司分析了欧洲按资产管理规模排名前 100 的金融公司,结果发现过去一年中有 (96%) 的公司至少经历过一次第三方漏洞;而在两年前的报告中,这一比例为 (78%) 。
调查同时显示,有 (97%) 的公司曾因第四方(其合作伙伴的合作伙伴)而出现漏洞,这一比例较两年前的 (84%) 明显上升。直接受到攻击的公司比例为 (7%) ,低于 2023 年报告中的 (8%) 。
这些调查结果是在今年 1 月 Digital Operational Resilience Act ( Dora ) 正式实施后得出的。
该法案涵盖了网络韧性、可审计性,以及金融机构与第三方软件和 IT 服务供应商在利用这些产品和服务支持业务运营时各自所承担责任的多个方面。尽管这是一项影响欧盟企业的欧洲法规,但其他地区也正在推动网络韧性建设。
SecurityScorecard 威胁洞察与归因高级经理 Corian Kennedy 表示:“欧洲顶级金融机构中第三方漏洞激增 (25%) ,不仅是个警告,更是一个行动号召。网络威胁已不再局限于外围防御,而是深深植根于供应链之中。各机构必须从被动防御转为主动防御策略,以应对日益严峻的挑战。”
这些数据并不令人意外。金融服务公司拥有一个由不同技术供应商组成的复杂生态系统,而网络犯罪分子正是针对这一点展开攻击。
一位不愿透露姓名的英国银行业 IT 安全专家表示,他对这些数据并不感到惊讶:“我原本预期所有公司 (100%) 都可能受到各类第三方失误的影响,反而那些声称未受任何影响的 (4%) 更让我感到意外。”
瑞士的第三方漏洞案例最多,每家公司平均约 (172) 起,其次是荷兰 (148) 起和英国 (136) 起。
根据 SecurityScorecard 的数据,全球网络事件中有 44% 归因于仅十个威胁行为团体。“这些事件突显了在互联数字环境中隐藏的漏洞,即使是最成熟的金融机构也可能受到严重冲击,”报告指出。
上个月,SecurityScorecard 报告称,为大型金融机构提供技术支持的金融科技(fintech)公司,尽管在安全防护方面表现出色,但仍受到第三方弱点的威胁。
报告显示,在所有研究行业中,金融科技领域的安全态势排名最高,但潜在的第三方薄弱环节可能为安全漏洞打开大门。调查还揭示,影响顶级金融科技公司的漏洞中有 (41.8%) 来源于第三方供应商,而超过 (18%) 的漏洞则通过第四方——即金融科技公司合作伙伴的合作伙伴——发生。
好文章,需要你的鼓励
美国网络安全和基础设施安全局指示联邦机构修补影响思科ASA 5500-X系列防火墙设备的两个零日漏洞CVE-2025-20362和CVE-2025-20333。这些漏洞可绕过VPN身份验证并获取root访问权限,已被黑客积极利用。攻击与国家支持的ArcaneDoor黑客活动有关,黑客通过漏洞安装bootkit恶意软件并操控只读存储器实现持久化。思科已发布补丁,CISA要求机构清点易受攻击系统并在今日前完成修补。
康考迪亚大学研究团队通过对比混合量子-经典神经网络与传统模型在三个基准数据集上的表现,发现量子增强模型在准确率、训练速度和资源效率方面均显著优于传统方法。研究显示混合模型的优势随数据集复杂度提升而增强,在CIFAR100上准确率提升9.44%,训练速度提升5-12倍,且参数更少。该成果为实用化量子增强人工智能铺平道路。
TimeWave是一款功能全面的计时器应用,超越了苹果自带时钟应用的功能。它支持创建流式计时器,让用户可以设置连续的任务计时,帮助专注工作。应用采用简洁的黑白设计,融入了Liquid Glass元素。内置冥想、番茄工作法、20-20-20护眼等多种计时模式,支持实时活动显示和Siri快捷指令。免费版提供基础功能,高级版需付费订阅。
沙特KAUST大学团队开发了专门针对阿拉伯语的AI模型家族"Hala",通过创新的"翻译再调优"技术路线,将高质量英语指令数据转化为450万规模的阿拉伯语语料库,训练出350M到9B参数的多个模型。在阿拉伯语专项测试中,Hala在同规模模型中表现最佳,证明了语言专门化策略的有效性,为阿拉伯语AI发展和其他语言的专门化模型提供了可复制的技术方案。