2021年五分之三的公司遭遇软件供应链攻击

admin 2022年2月21日04:44:17安全新闻 供应链安全评论54 views1268字阅读4分13秒阅读模式

关注我们

带你读懂网络安全

2021年五分之三的公司遭遇软件供应链攻击


Anchore最近的调查研究表明,2021年里,五分之三以上的公司遭遇过软件供应链攻击。调查征集了IT、安全、开发和DevOps领域428位高管、主管和经理的意见,结果显示:近三分之一(30%)的受访者所在企业在2021年所受软件供应链攻击的影响为严重或中等。仅6%的受访者认为攻击对其软件供应链的影响很小。


调查结果呈现了Apache Log4实用程序漏洞暴露前后软件供应链攻击的变化。研究人员在2021年12月3日至12月30日期间编撰此调查报告,而Log4j漏洞是在12月9日披露的。12月9日之前,55%的受访者表示自己遭遇了软件供应链攻击。这个日期之后,表示遭遇软件供应链攻击的受访者上升到了65%。


Anchore高级副总裁Kim Weins表示:“这意味着有受访者在Log4j之前没有遭遇供应链攻击,还有受访者之前经历了攻击,但在Log4j之后所受影响加重了。”


科技公司受软件供应链攻击的影响更大


调查还发现,与其他行业相比(3%),受软件供应链攻击严重影响的科技公司更多(15%)。Wein称:“科技公司有可能提高恶意攻击者的投资回报率。只要攻击者可以染指软件产品,而该软件产品为成千上万的用户所用,那么攻击者就能在万千其他公司中立足。”


许多企业似乎也开始重视供应链安全了:54%的受访者将供应链安全视为首要或重要的关注领域。成熟容器用户对供应链安全的关注度甚至更高:70%的成熟容器用户表示供应链安全是其首要或重要关注点。


Weins表示:“你必须留意的依赖数量会随着容器和云原生部署而增加。因此,随着容器使用的愈加成熟,用户逐渐意识到自己必须关注这些依赖所引入的新增攻击面。”


软件物料清单(SBOM)是保护软件供应链的关键


调查报告指出,尽管很多受访者将保护软件供应链视为头等大事,但将软件物料清单(SBOM)纳入自身安全态势考量的受访者却很少。例如,仅不到三分之一的受访者遵从了SBOM最佳实践,而自家所有应用都具备完整SBOM的受访者更是仅有18%。


Weins称:“我们认为SBOM是确保软件供应链安全的重要基础,因为可以通过SBOM了解实际在用的软件。” 


曝出漏洞时,SBOM还有助于缩短安全团队的响应时间。资产管理和治理解决方案公司JupiterOne首席信息安全官Sounil Yu指出:“如果没有SBOM,修复这些漏洞的时间可能会延长至数月乃至数年”。


数字风险防护解决方案提供商Digital Shadows首席信息安全官Rick Holland补充道:“缺乏SBOM,客户就会购买黑盒解决方案,由此导致无法全面了解产品或服务中使用的所有组件。”


Weins坚定认为,SBOM是2022年必备。“大家都很清楚,软件安全始于了解你所拥有的一切,也就是拥有完整的组件列表,然后在交付软件之前对照检查是否全都安全。而在软件部署之后,你还需要持续监测软件的安全性。”





文章来源:数世咨询



点击下方卡片关注我们,
带你一起读懂网络安全 ↓


原文始发于微信公众号(互联网安全内参):2021年五分之三的公司遭遇软件供应链攻击

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年2月21日04:44:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  2021年五分之三的公司遭遇软件供应链攻击 http://cn-sec.com/archives/795479.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: