Anchore最近的调查研究表明,2021年里,五分之三以上的公司遭遇过软件供应链攻击。调查征集了IT、安全、开发和DevOps领域428位高管、主管和经理的意见,结果显示:近三分之一(30%)的受访者所在企业在2021年所受软件供应链攻击的影响为严重或中等。仅6%的受访者认为攻击对其软件供应链的影响很小。
调查结果呈现了Apache Log4实用程序漏洞暴露前后软件供应链攻击的变化。研究人员在2021年12月3日至12月30日期间编撰此调查报告,而Log4j漏洞是在12月9日披露的。12月9日之前,55%的受访者表示自己遭遇了软件供应链攻击。这个日期之后,表示遭遇软件供应链攻击的受访者上升到了65%。
Anchore高级副总裁Kim Weins表示:“这意味着有受访者在Log4j之前没有遭遇供应链攻击,还有受访者之前经历了攻击,但在Log4j之后所受影响加重了。”
科技公司受软件供应链攻击的影响更大
调查还发现,与其他行业相比(3%),受软件供应链攻击严重影响的科技公司更多(15%)。Wein称:“科技公司有可能提高恶意攻击者的投资回报率。只要攻击者可以染指软件产品,而该软件产品为成千上万的用户所用,那么攻击者就能在万千其他公司中立足。”
许多企业似乎也开始重视供应链安全了:54%的受访者将供应链安全视为首要或重要的关注领域。成熟容器用户对供应链安全的关注度甚至更高:70%的成熟容器用户表示供应链安全是其首要或重要关注点。
Weins表示:“你必须留意的依赖数量会随着容器和云原生部署而增加。因此,随着容器使用的愈加成熟,用户逐渐意识到自己必须关注这些依赖所引入的新增攻击面。”
软件物料清单(SBOM)是保护软件供应链的关键
调查报告指出,尽管很多受访者将保护软件供应链视为头等大事,但将软件物料清单(SBOM)纳入自身安全态势考量的受访者却很少。例如,仅不到三分之一的受访者遵从了SBOM最佳实践,而自家所有应用都具备完整SBOM的受访者更是仅有18%。
Weins称:“我们认为SBOM是确保软件供应链安全的重要基础,因为可以通过SBOM了解实际在用的软件。”
曝出漏洞时,SBOM还有助于缩短安全团队的响应时间。资产管理和治理解决方案公司JupiterOne首席信息安全官Sounil Yu指出:“如果没有SBOM,修复这些漏洞的时间可能会延长至数月乃至数年”。
数字风险防护解决方案提供商Digital Shadows首席信息安全官Rick Holland补充道:“缺乏SBOM,客户就会购买黑盒解决方案,由此导致无法全面了解产品或服务中使用的所有组件。”
Weins坚定认为,SBOM是2022年必备。“大家都很清楚,软件安全始于了解你所拥有的一切,也就是拥有完整的组件列表,然后在交付软件之前对照检查是否全都安全。而在软件部署之后,你还需要持续监测软件的安全性。”