2020年底爆发SolarWinds黑客事件,相关新闻和分析文章为有关软件供应链安全的讨论定下了基调。攻击者总是寻找阻力最小的入侵路径,而且他们逐渐发现,跟在软件供应商大型数据泄露事件后面可以更轻松地获得这些供应商众多客户的访问权限。
以下统计数据反映出了供应链攻击增长、攻击成本和影响,以及受软件供应链不安全因素冲击的企业所表现出的关注程度。
2021年的供应链攻击数量预计是2020年的4倍
统计数据来源:ENISA《供应链攻击威胁态势》,欧盟网络安全局(ENISA),2021年
根据欧盟网络安全局(ENISA)编撰的供应链攻击研究报告,2021年的供应链攻击数量将增加至上一年的四倍之多。该机构报告称,在过去几年观察到的攻击中,一半以上是高级持续性威胁(APT)组织或知名网络攻击团伙实施的。
报告解释称:“随着直接攻击防护良好的企业所需要的成本增高,攻击者更愿意攻击这些企业的供应链,这样更有可能产生潜在的大规模跨界影响。”
45%的企业承认其软件供应链安全工作只完成了一半
统计数据来源:《全球首席级高管安全调查》,Cloudbees,2021年
最近一项针对500名首席级高管进行的企业软件供应链状况调查显示,大约45%的受访者认为,在通过代码签名、工件管理和限制仅依赖可信注册机构等措施保护软件供应链方面,他们的工作只完成了一半。
这项由Regina Corso Consulting接受CloudBees委托进行的研究还表明,假设受访企业的软件供应链受到攻击,64%的高管不知道该首先求助于谁。考虑到93%的受访者表示他们已经准备好应对供应链上的网络攻击,这些坦率的调查结果很有意思:可能意味着企业对软件供应链安全问题的认知存在一定程度的偏差。
64%的企业在过去12个月内受到供应链攻击的影响
统计数据来源:Anchore 《2021年软件供应链安全报告》
Anchore年中报告显示,425名大型企业的IT、安全和DevOps主管中,超过三分之二的人报告称去年受到了供应链攻击的影响。这些攻击获得了其所在企业的关注,因为受访主管中绝大多数(80%)如今报告称,软件供应链安全现在至少某种程度上是企业的关注重点之一了。大约60%的受访主管表示,软件供应链安全是其工作的重中之重。
企业在保护其软件供应链方面最常提到的三个挑战是保护开源软件容器、保护企业编写的代码,以及了解运行软件所需完整软件材料清单——包括开源库和源代码等。
向开源项目中注入新漏洞的“下一代”供应链攻击去年间暴增650%
统计数据来源:《2021年软件供应链状况报告》,Sonatype
企业要担心的不仅仅是盯上未修复已知开源漏洞的老旧软件供应链漏洞利用程序。现在,恶意黑客开始通过在软件中插入他们自己的漏洞和后门来采取主动了,SolarWinds的崩溃就证明了这一点。根据Sonatype的一份报告,此类下一代软件供应链攻击正在急剧增长,在过去一年中增长了650%。
下一代供应链攻击中几种最常见的类型是依赖或命名空间混淆攻击、域名抢注攻击和恶意源代码注入。
包括供应链数据泄露在内的多方“涟漪”安全事件的成本是传统数据泄露的10倍
统计数据来源:《2021年风险面涟漪》,RiskRecon/Cyentia Institute
Cyentia Institute最近受RiskRecon委托进行的一项研究调查了自2008年以来的897起多方数据泄露事件(也称为涟漪事件)。这些涟漪事件是因单一事件(包括供应链事件)而影响了三家或更多公司的安全事件。研究表明,同是中等规模,涟漪数据泄露事件造成的经济损失是传统单方数据泄露事件的10倍,最严重的情况下,涟漪数据泄露事件比传统数据泄露造成的损失高出26倍。
Cyentia的研究表明,典型涟漪数据泄露事件的影响可能需要很长时间(379 天)才能波及到75%的下游受害者。
自SolarWinds事件以来,69%的高管并未就安全问题多加质询软件供应商
统计数据来源:《2021年高管调查》,Venafi
即使在看到SolarWinds供应链安全事件的后果和对其下游影响的分析之后,大多数企业仍未必汲取这些经验教训而采取行动。Venafi对1000多名IT和开发人员进行的一项研究表明,自SolarWinds供应链攻击事件发生以来,69%的受访者并未就软件安全保障过程和代码验证流程向其软件提供商提出更多问题。
此外,55%的受访者表示,SolarWinds黑客事件对他们购买软件时考虑的问题几乎没有影响。这意味着,尽管对供应链攻击的担忧居高不下,但实际上还没人真正对供应商施加压力。
