(纳闻记者赵晓辉报导)
根据软件供应链管理平台 Anchore 的一项新调查,全球超过 60% 的组织表示他们在去年受到了软件供应链攻击的影响。
软件供应链攻击是一种新兴的网络攻击,黑客通过受信任的第三方供应商、供应商或供应链攻击企业网络。
本周发布的 Anchore 2022 软件供应链安全报告基于 IT、安全和 DevOps 领域 428 位领导者和高管的调查回复,揭示了软件供应链面临的一些安全挑战。
受访者于 2021 年 12 月 3 日至 12 月 22 日在北美、英国和其他欧洲国家接受了调查。
根据调查,62% 的受访者表示,他们在 2021 年至少受到了一次软件供应链攻击的影响,6% 的受访者表示攻击具有“重大影响”,25% 的受访者表示攻击具有“中等影响”影响。”
只有 38% 的公司报告说,这种类型的攻击在 2021 年没有影响到他们。
“SUNBURST (SolarWinds) 的挥之不去的影响仍然位居攻击列表的首位,对受访者的影响最大,为 32%,”Anchore 说。
美国联邦调查局对 SolarWinds 技术的黑客行为展开了调查,该技术被美国军方所有五个部门和众多政府机构使用,并导致政府系统遭到破坏,同时使公司在 2020 年 12 月暴露无遗。该组织普遍认为诺贝尔奖此次袭击的幕后黑手是 Nobelium 被认为与俄罗斯情报部门有联系。
“去年始于 SolarWinds SUNBURST 攻击的后果,并以针对 Log4j 零日漏洞的多次攻击而告终,这凸显了保护软件供应链的重要性,”Anchore 说。 “虽然这项调查主要是在发布 Log4j 漏洞之前进行的,但近三分之二的受访者报告了过去 12 个月攻击的影响。 因此,组织正在优先考虑软件供应链安全,超过一半的受访者将其列为重要或首要关注领域。”
Log4j 是一个开源日志库,在全球范围内用于软件应用程序和在线服务。 2021 年 12 月,安全研究人员在代码中发现了一个漏洞,该漏洞使互联网用户和服务提供商暴露在黑客面前。
美国网络安全和基础设施安全局局长 Jen Easterly 称 Log4Shell 是她职业生涯中见过的最严重的漏洞,并敦促企业更好地保护自己免受该漏洞的影响。
也许调查中最令人担忧的结果表明,组织更有可能在 2021 年 12 月 10 日之后报告供应链攻击的重大或中等影响,这意味着随着我们进入 2022 年,此类攻击的势头正在增强。
然而,Anchore 指出,这表明 Log4j “显着增加了 2021 年遭受重大供应链攻击的公司数量”。
Anchore 表示,在所有接受调查的组织中,科技行业的组织仍然受到供应链攻击的影响最大。 与其他行业的 3% 相比,共有 15% 的科技公司受到这些攻击的影响更大。
Anchore 建议组织实施新的供应链安全协议和工具来应对潜在的攻击,并指出“软件供应链管理必须成为每个使用或构建软件的组织的新实践。”
