一項新調查顯示,在2021年五分之三的公司成為了軟件供應鏈攻擊的受害者,這標誌著這類攻擊正急劇上升。

這項由軟件公司Anchore發布的調查報告表示,62%組織在過去一年裏受到了供應鏈攻擊的影響。

軟件公司Appgate的首席營銷官朱莉‧普雷斯(Julie Preiss)在給《大紀元時報》的一份聲明中解釋:「用最簡單的話來說,當網絡犯罪份子操縱一個組織的軟件代碼,向下游的應用程式和用戶發送惡意的『有效載荷』(payload,即數據包中的資料)時,就會發生軟件供應鏈攻擊。」

「他們的目標通常是與大公司有業務往來的小型、不太安全的公司,因此被稱為供應鏈攻擊。」

普雷斯表示,這些攻擊不斷增加的原因,可歸因於幾個基本事實。

她表示:「當今,網上業務正前所未有地發展,創造了龐大而誘人的攻擊面;許多組織的網絡安全不足,導致他們的軟件存在漏洞和錯誤配置,容易被利用;而且,一次成功的網攻,可帶來超過原先目標的巨大潛力,產生的回報非常吸引人。」

Anchore在調查中,收集了去年12月3日至12月30日的數據。期間恰逢12月9日發現了Apache Log4程序中的一個漏洞。在發現此漏洞後,供應鏈攻擊的報告激增了10%。

這項調查反映了一項更廣泛的趨勢,即供應鏈攻擊的普遍性正快速上升。網絡安全公司Sonatype最近的一項分析記錄了2021年12,000宗攻擊事件,顯示供應鏈攻擊出現了650%的增長。

「供應鏈攻擊正變得越來越普遍,越來越難以防禦」,新澤西州網絡安全公司Xact IT Solutions的行政總裁布萊恩‧霍農(Bryan Hornung)在給《大紀元時報》的一份聲明中說,「我們在過去12個月的多起攻擊中看到了這一點,它正成為黑客賺錢或竊取機密的一種非常有利可圖的方式。」

霍農是零信任安全框架(zero trust security framework)的支持者,該框架要求組織內外的所有個人,在訪問應用程式和數據時都必須經過身份確認和驗證。這項策略的倡導者認為,如此一來可有效根除許多漏洞,這些漏洞在過去一年中變得越來越明顯。

Anchore的分析強調,對抗供應鏈攻擊的另一種方法是:優先考慮清楚標示「軟件物料清單」(SBOM)的軟件,這是指公開標明軟件內程式碼組成與來源,以利找出潛在安全風險。

根據美國商務部國家通信和信息管理局(NTIA)的公告,合格的SBOM在資料欄位裏,必須涵蓋軟件內所有成份的供應商、名稱、辨識碼、版本、彼此間依賴關係、作者等內容。

Anchore報告說:「儘管SBOM在提供軟件供應鏈的透明度上具有基礎性作用,但只有不到三分之一的組織,遵循著SBOM的最佳實踐(best practice)。」

「事實上,只有18%的受訪者表示,他們所有使用的應用程式,都擁有完整的SBOM。」

雖然在2021年,供應鏈軟件攻擊的程度是前所未有的劇烈,但網絡安全業正快速發展,以應對Anchore、Sonatype報告提到的威脅。

該行業正提供多種方法來應對這一問題,而今年可能會成為這些新戰略的實驗場,因為不同的公司正相互競爭,確保數碼經濟蓬勃發展之際個人和整體網絡的安全。#

------------------

請訂閱新官方YouTube頻道:
https://bit.ly/2XxPrsd

✅立即支持訂閱:
https://hk.epochtimes.com/subscribe
✅直接贊助大紀元:
https://www.epochtimeshk.org/sponsors
✅成為我們的Patron:
https://www.patreon.com/epochtimeshk

------------------

🏵️《九評》20周年
https://hk.epochtimes.com/category/專題/退黨大潮

🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand