IBM：五分之一的数据泄露事件由软件供应链受陷造成

IBM 发布2022年度数据泄露成本分析报告指出，供应链攻击事件逐年增多，企业每年的成本都在上涨。

报告指出，五分之一的数据泄露事件是因为企业合作伙伴受陷造成的，识别并遏制供应链事件所耗费的平均总时长要比全球数据泄露事件长26天。供应链攻陷事件的总成本是446万美元，比平均水平高2.5%。

报告还发现，数据泄露事件的全球平均总成本为435万美元，为史上最高水平；比过去两年高出近13%。

IBM Security X-Force 公司的战略总监 John Hendley 指出，“17%的关键基础设施组织机构安全事件是因企业合作伙伴首先遭攻陷造成的，这说明组织机构需要更加注重治理第三方访问权限的安全控制。”

零信任意味着零问题？

报告指出，越来越多的关键基础设施组织机构如金融服务、工业、交通和医疗企业成为这类攻击的目标，而零信任是抵御这类攻击的最佳方式。

Hendly 指出，“组织机构需要警惕并密切审查环境的外部访问点，审查它们是否是通过直接的网络访问权限、应用程序甚至是物理访问权限进行访问。供应链攻击非常值得关注，原因在于它们非常狡猾以及影响巨大。SolarWinds 事件就是最好的例证，未来我们将会看到更多此类攻击。”

报告指出，执行零信任安全方法的组织机构遭遇更少的数据安全事件，平均成本低150万美元。然而，关键基础设施组织机构未能实现这一点，仅有五分之一的企业采用了零信任模型，而全球平均水平为41%。

KnowBe4 公司的首席安全意识倡导者 Javvad Malik 指出，供应链需要更好的透明度以及更高的技术保证，确保所有组件均得到适当的防护。他指出，“我们已经看到组织机构已遭攻陷，攻陷的目的不在于这些组织机构本身，而在于这样做能够获得对其它组织机构的访问权限。流行案例包括 Target、RSA，更近的案例是 SolarWinds。虽然很多组织机构尝试通过向第三方发送很长的问卷调查来判断第三方的安全级别，缓解安全风险。但这不足以覆盖整个供应链，而即使能覆盖也无法提供技术保证。”