Anchore最近的調查研究表明,2021年里,五分之三以上的公司遭遇過軟件供應鏈攻擊。調查征集了IT、安全、開發和DevOps領域428位高管、主管和經理的意見,結果顯示:近三分之一(30%)的受訪者所在企業在2021年所受軟件供應鏈攻擊的影響為嚴重或中等。僅6%的受訪者認為攻擊對其軟件供應鏈的影響很小。
調查結果呈現了Apache Log4實用程序漏洞暴露前后軟件供應鏈攻擊的變化。研究人員在2021年12月3日至12月30日期間編撰此調查報告,而Log4j漏洞是在12月9日披露的。12月9日之前,55%的受訪者表示自己遭遇了軟件供應鏈攻擊。這個日期之后,表示遭遇軟件供應鏈攻擊的受訪者上升到了65%。
Anchore高級副總裁Kim Weins表示:“這意味著有受訪者在Log4j之前沒有遭遇供應鏈攻擊,還有受訪者之前經歷了攻擊,但在Log4j之后所受影響加重了。”
科技公司受軟件供應鏈攻擊的影響更大
調查還發現,與其他行業相比(3%),受軟件供應鏈攻擊嚴重影響的科技公司更多(15%)。Wein稱:“科技公司有可能提高惡意攻擊者的投資回報率。只要攻擊者可以染指軟件產品,而該軟件產品為成千上萬的用戶所用,那么攻擊者就能在萬千其他公司中立足。”
許多企業似乎也開始重視供應鏈安全了:54%的受訪者將供應鏈安全視為首要或重要的關注領域。成熟容器用戶對供應鏈安全的關注度甚至更高:70%的成熟容器用戶表示供應鏈安全是其首要或重要關注點。
Weins表示:“你必須留意的依賴數量會隨著容器和云原生部署而增加。因此,隨著容器使用的愈加成熟,用戶逐漸意識到自己必須關注這些依賴所引入的新增攻擊面。”
軟件物料清單(SBOM)是保護軟件供應鏈的關鍵
調查報告指出,盡管很多受訪者將保護軟件供應鏈視為頭等大事,但將軟件物料清單(SBOM)納入自身安全態勢考量的受訪者卻很少。例如,僅不到三分之一的受訪者遵從了SBOM最佳實踐,而自家所有應用都具備完整SBOM的受訪者更是僅有18%。
Weins稱:“我們認為SBOM是確保軟件供應鏈安全的重要基礎,因為可以通過SBOM了解實際在用的軟件。”
曝出漏洞時,SBOM還有助于縮短安全團隊的響應時間。資產管理和治理解決方案公司JupiterOne首席信息安全官Sounil Yu指出:“如果沒有SBOM,修復這些漏洞的時間可能會延長至數月乃至數年”。
數字風險防護解決方案提供商Digital Shadows首席信息安全官Rick Holland補充道:“缺乏SBOM,客戶就會購買黑盒解決方案,由此導致無法全面了解產品或服務中使用的所有組件。”
Weins堅定認為,SBOM是2022年必備。“大家都很清楚,軟件安全始于了解你所擁有的一切,也就是擁有完整的組件列表,然后在交付軟件之前對照檢查是否全都安全。而在軟件部署之后,你還需要持續監測軟件的安全性。”
