【大纪元2022年02月15日讯】(英文大纪元记者Nicholas Dolinger报导/陈霆编译)一项新调查显示,在2021年五分之三的公司成为了软件供应链攻击的受害者,这标志着这类攻击正急剧上升。
这项由软件公司Anchore发布的调查报告表示,62%组织在过去一年里受到了供应链攻击的影响。
软件公司Appgate的首席营销官朱莉‧普雷斯(Julie Preiss)在给《大纪元时报》的一份声明中解释:“用最简单的话来说,当网络犯罪分子操纵一个组织的软件代码,向下游的应用程序和用户发送恶意的‘有效载荷’(payload,即数据包中的资料)时,就会发生软件供应链攻击。”
“他们的目标通常是与大公司有业务往来的小型、不太安全的公司,因此被称为供应链攻击。”
普雷斯表示,这些攻击不断增加的原因,可归因于几个基本事实。
她表示:“当今,网上业务正前所未有地发展,创造了庞大而诱人的攻击面;许多组织的网络安全不足,导致他们的软件存在漏洞和错误配置,容易被利用;而且,一次成功的网攻,可带来超过原先目标的巨大潜力,产生的回报非常吸引人。”
Anchore在调查中,收集了去年12月3日至12月30日的数据。期间恰逢12月9日发现了Apache Log4程序中的一个漏洞。在发现此漏洞后,供应链攻击的报告激增了10%。
这项调查反映了一项更广泛的趋势,即供应链攻击的普遍性正快速上升。网络安全公司Sonatype最近的一项分析记录了2021年12,000起攻击事件,显示供应链攻击出现了650%的增长。
“供应链攻击正变得越来越普遍,越来越难以防御”,新泽西州网络安全公司Xact IT Solutions的首席执行官布莱恩‧霍农(Bryan Hornung)在给《大纪元时报》的一份声明中说,“我们在过去12个月的多起攻击中看到了这一点,它正成为黑客赚钱或窃取机密的一种非常有利可图的方式。”
霍农是零信任安全框架(zero trust security framework)的支持者,该框架要求组织内外的所有个人,在访问应用程序和数据时都必须经过身份确认和验证。这项策略的倡导者认为,如此一来可有效根除许多漏洞,这些漏洞在过去一年中变得越来越明显。
Anchore的分析强调,对抗供应链攻击的另一种方法是:优先考虑清楚标示“软件物料清单”(SBOM)的软件,这是指公开标明软件内程式码组成与来源,以利找出潜在安全风险。
根据美国商务部国家通信和信息管理局(NTIA)的公告,合格的SBOM在资料栏位里,必须涵盖软件内所有成分的供应商、名称、辨识码、版本、彼此间依赖关系、作者等内容。
Anchore报告说:“尽管SBOM在提供软件供应链的透明度上具有基础性作用,但只有不到三分之一的组织,遵循着SBOM的最佳实践(best practice)。”
“事实上,只有18%的受访者表示,他们所有使用的应用程序,都拥有完整的SBOM。”
虽然在2021年,供应链软件攻击的程度是前所未有的剧烈,但网络安全业正快速发展,以应对Anchore、Sonatype报告提到的威胁。
该行业正提供多种方法来应对这一问题,而今年可能会成为这些新战略的实验场,因为不同的公司正相互竞争,确保数字经济蓬勃发展之际个人和整体网络的安全。
责任编辑:叶紫微#
