kaiyun官方注册
您所在的位置: 首页> 通信与网络> 业界动态> 2021年五分之三的公司遭遇软件供应链攻击

2021年五分之三的公司遭遇软件供应链攻击

2022-03-20
来源:互联网安全内参
关键词: 供应链攻击

  Anchore最近的调查研究表明,2021年里,五分之三以上的公司遭遇过软件供应链攻击。调查征集了IT、安全、开发和DevOps领域428位高管、主管和经理的意见,结果显示:近三分之一(30%)的受访者所在企业在2021年所受软件供应链攻击的影响为严重或中等。仅6%的受访者认为攻击对其软件供应链的影响很小。

  调查结果呈现了Apache Log4实用程序漏洞暴露前后软件供应链攻击的变化。研究人员在2021年12月3日至12月30日期间编撰此调查报告,而Log4j漏洞是在12月9日披露的。12月9日之前,55%的受访者表示自己遭遇了软件供应链攻击。这个日期之后,表示遭遇软件供应链攻击的受访者上升到了65%。

  Anchore高级副总裁Kim Weins表示:“这意味着有受访者在Log4j之前没有遭遇供应链攻击,还有受访者之前经历了攻击,但在Log4j之后所受影响加重了。”

  科技公司受软件供应链攻击的影响更大

  调查还发现,与其他行业相比(3%),受软件供应链攻击严重影响的科技公司更多(15%)。Wein称:“科技公司有可能提高恶意攻击者的投资回报率。只要攻击者可以染指软件产品,而该软件产品为成千上万的用户所用,那么攻击者就能在万千其他公司中立足。”

  许多企业似乎也开始重视供应链安全了:54%的受访者将供应链安全视为首要或重要的关注领域。成熟容器用户对供应链安全的关注度甚至更高:70%的成熟容器用户表示供应链安全是其首要或重要关注点。

  Weins表示:“你必须留意的依赖数量会随着容器和云原生部署而增加。因此,随着容器使用的愈加成熟,用户逐渐意识到自己必须关注这些依赖所引入的新增攻击面。”

  软件物料清单(SBOM)是保护软件供应链的关键

  调查报告指出,尽管很多受访者将保护软件供应链视为头等大事,但将软件物料清单(SBOM)纳入自身安全态势考量的受访者却很少。例如,仅不到三分之一的受访者遵从了SBOM最佳实践,而自家所有应用都具备完整SBOM的受访者更是仅有18%。

  Weins称:“我们认为SBOM是确保软件供应链安全的重要基础,因为可以通过SBOM了解实际在用的软件。”

  曝出漏洞时,SBOM还有助于缩短安全团队的响应时间。资产管理和治理解决方案公司JupiterOne首席信息安全官Sounil Yu指出:“如果没有SBOM,修复这些漏洞的时间可能会延长至数月乃至数年”。

  数字风险防护解决方案提供商Digital Shadows首席信息安全官Rick Holland补充道:“缺乏SBOM,客户就会购买黑盒解决方案,由此导致无法全面了解产品或服务中使用的所有组件。”

  Weins坚定认为,SBOM是2022年必备。“大家都很清楚,软件安全始于了解你所拥有的一切,也就是拥有完整的组件列表,然后在交付软件之前对照检查是否全都安全。而在软件部署之后,你还需要持续监测软件的安全性。”




微信图片_20220318121103.jpg

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306116;邮箱:aet@chinaaet.com。
Baidu
map