jijomathai / Adobe股票
软件供应链受到网络攻击的风险越来越高最近的报告来自美国国家反间谍与安全中心(NCSC)的警告。
与2014年至2016年的4个重大事件相比,去年报告了7个重大事件,2017年“代表了软件供应链运营报告的分水岭”。NCSC指出,“软件供应链渗透已经威胁到关键的基础设施部门,并准备威胁其他部门。”
随着公司与越来越多的供应商合作和共享数据,他们成为软件供应链攻击受害者的风险急剧上升。
在CCleaner恶意软件案中,黑客侵入了包括英特尔(Intel)、三星(Samsung)和索尼(Sony)在内的公司。由于NotPetya网络攻击,联邦快递和马士基各损失了约3亿美元。由于NetSarang软件的损坏,各行各业的数百家公司都受到了影响。这还只是去年的事。
虽然网络攻击的威胁被广泛宣传,三分之二的受访者在一个最近的CrowdStrike调查假设他们的组织经历过软件供应链攻击,只有49%的组织有一个全面的策略来处理潜在的攻击。
然而,与勒索软件等其他类型的网络攻击相比,参与调查的1300名IT安全专业人士和高级决策者对供应链攻击的担忧程度要低一些。56%的受访者认为他们的组织处于高或中等风险的供应链攻击。
来源:CrowdStrike
生物技术和制药行业尤其容易受到软件供应链攻击,82%的报告称他们经历过一次攻击(45%在过去12个月内经历过此类攻击)。酒店、娱乐、媒体、IT服务和电信行业的供应链攻击率也很高。这些攻击造成的财务影响不容小觑,平均给企业造成110万美元的损失。
公司准备充分了吗?
尽管五分之四的受访者认为,软件供应链攻击在未来三年内“有可能成为企业面临的最大网络威胁之一”,但62%的受访者指出,他们的高管领导层并没有意识到此类攻击带来的风险。此外,组织在做出IT支出决策时并不总是将软件供应链安全考虑在内。
尽管如此,只有35%的受访者认为防止供应链攻击是他们在it安全方面最关注的三大领域之一。只有32%的受访者表示,他们的组织在过去12个月内审查了所有供应商,5%的受访者表示,他们在此期间没有审查任何供应商。
在对供应商进行审查的公司中,内部安全标准和使用中的安全软件是组织检查的最常见的两项内容。只有28%的企业关注供应商与自己供应商的关系。
报告指出:“虽然许多组织在审查其附近的供应商时保持警惕,但随着圈子扩大,警惕程度似乎下降了。”
好消息是,越来越多的组织正在积极主动地关注供应链安全。31%的受访者表示,在NotPetya和WannaCry网络攻击事件发生后,他们所在组织的董事会已经更多地参与其中。
来源:CrowdStrike
如上图所示,企业也在寻求新技术来防御供应链攻击,其中人工智能和机器学习引起了最大的兴趣。44%的受访者表示,他们计划在未来12个月内将人工智能作为其IT安全的一部分。
美国国家反间谍和安全中心的报告可以在这里找到在这里。另外,请参阅完整调查结果从CrowdStrike。
讨论: