【大紀元2022年02月15日訊】(英文大紀元記者Nicholas Dolinger報導/陳霆編譯)一項新調查顯示,在2021年五分之三的公司成為了軟件供應鏈攻擊的受害者,這標誌著這類攻擊正急劇上升。
這項由軟件公司Anchore發布的調查報告表示,62%組織在過去一年裡受到了供應鏈攻擊的影響。
軟件公司Appgate的首席營銷官朱莉‧普雷斯(Julie Preiss)在給《大紀元時報》的一份聲明中解釋:「用最簡單的話來說,當網絡犯罪分子操縱一個組織的軟件代碼,向下游的應用程序和用戶發送惡意的『有效載荷』(payload,即數據包中的資料)時,就會發生軟件供應鏈攻擊。」
「他們的目標通常是與大公司有業務往來的小型、不太安全的公司,因此被稱為供應鏈攻擊。」
普雷斯表示,這些攻擊不斷增加的原因,可歸因於幾個基本事實。
她表示:「當今,網上業務正前所未有地發展,創造了龐大而誘人的攻擊面;許多組織的網絡安全不足,導致他們的軟件存在漏洞和錯誤配置,容易被利用;而且,一次成功的網攻,可帶來超過原先目標的巨大潛力,產生的回報非常吸引人。」
Anchore在調查中,收集了去年12月3日至12月30日的數據。期間恰逢12月9日發現了Apache Log4程序中的一個漏洞。在發現此漏洞後,供應鏈攻擊的報告激增了10%。
這項調查反映了一項更廣泛的趨勢,即供應鏈攻擊的普遍性正快速上升。網絡安全公司Sonatype最近的一項分析記錄了2021年12,000起攻擊事件,顯示供應鏈攻擊出現了650%的增長。
「供應鏈攻擊正變得越來越普遍,越來越難以防禦」,新澤西州網絡安全公司Xact IT Solutions的首席執行官布萊恩‧霍農(Bryan Hornung)在給《大紀元時報》的一份聲明中說,「我們在過去12個月的多起攻擊中看到了這一點,它正成為黑客賺錢或竊取機密的一種非常有利可圖的方式。」
霍農是零信任安全框架(zero trust security framework)的支持者,該框架要求組織內外的所有個人,在訪問應用程序和數據時都必須經過身分確認和驗證。這項策略的倡導者認為,如此一來可有效根除許多漏洞,這些漏洞在過去一年中變得越來越明顯。
Anchore的分析強調,對抗供應鏈攻擊的另一種方法是:優先考慮清楚標示「軟件物料清單」(SBOM)的軟件,這是指公開標明軟件內程式碼組成與來源,以利找出潛在安全風險。
根據美國商務部國家通信和信息管理局(NTIA)的公告,合格的SBOM在資料欄位裡,必須涵蓋軟件內所有成分的供應商、名稱、辨識碼、版本、彼此間依賴關係、作者等內容。
Anchore報告說:「儘管SBOM在提供軟件供應鏈的透明度上具有基礎性作用,但只有不到三分之一的組織,遵循著SBOM的最佳實踐(best practice)。」
「事實上,只有18%的受訪者表示,他們所有使用的應用程序,都擁有完整的SBOM。」
雖然在2021年,供應鏈軟件攻擊的程度是前所未有的劇烈,但網絡安全業正快速發展,以應對Anchore、Sonatype報告提到的威脅。
該行業正提供多種方法來應對這一問題,而今年可能會成為這些新戰略的實驗場,因為不同的公司正相互競爭,確保數字經濟蓬勃發展之際個人和整體網絡的安全。
責任編輯:葉紫微#
