2020年底爆发了SolarWinds黑客攻击,相关新闻和分析文章为有关软件供应链安全的讨论定下了基调。攻击者总是在寻找阻力最小的路径,而且他们越来越多地发现,在软件供应商发生重大数据泄露后,更容易获得对这些供应商的众多客户的访问权限。下面的统计数据反映了供应链攻击的增长、它们的成本和影响,以及受软件供应链不安全影响的组织所表达的关注程度。2021年供应链攻击次数预计是2020年的4倍统计来源:ENISA《供应链攻击威胁态势》,欧盟网络安全局(ENISA),2021年根据欧盟网络安全局编制的供应链攻击研究报告(ENISA),2021年2019年供应链攻击次数将是上一年的四倍多。该机构报告说,在过去几年观察到的攻击中,有一半以上是由高级持续威胁(APT)组织或知名网络攻击组织实施的。报告解释说:“随着直接攻击受到良好保护的企业的成本增加,攻击者更愿意攻击他们的供应链,这更有可能造成潜在的大规模跨境影响。”45%的企业承认他们的软件供应链安全只完成了一半统计来源:《全球首席级高管安全调查》,Cloudbees,2021最近一项针对500名C级高管的企业软件供应链状况调查显示,大约45%的受访者认为也就是说,在通过代码签名、工件管理和限制仅依赖受信任的注册表等措施来保护软件供应链方面,他们的工作只完成了一半。这项由ReginaCorsoConsulting委托CloudBees进行的研究还显示,64%的受访高管不知道如果他们的软件供应链受到攻击应该首先求助于谁。考虑到93%的受访者表示他们已准备好应对对其供应链的网络攻击,这些坦率的调查结果很有趣:他们可能表明企业对软件供应链安全问题的看法存在一定程度的偏差。64%的企业在过去12个月内受到供应链攻击的影响统计来源:Anchore《2021年软件供应链安全报告》Anchore年中报告显示,在大型企业的425名IT、安全和DevOps高管中,超过三分之二的报告称它去年受到供应链攻击的影响。这些攻击引起了他们组织的注意,因为绝大多数(80%)的受访高管现在报告说,软件供应链安全现在至少在某种程度上是他们组织的头等大事。大约60%的受访高管表示,软件供应链安全是他们的首要任务。企业在保护其软件供应链方面提到的三个最常提到的挑战是保护开源软件容器、保护企业编写的代码以及了解运行软件所需的完整软件材料清单——包括开源库和源代码,除其他外。向开源项目注入新漏洞的“下一代”供应链攻击去年飙升650%统计资料来源:《2021年软件供应链状况报告》Sonatype公司需要担心的不仅仅是针对尚未修复已知开源漏洞链利用的遗留软件供应.现在,恶意黑客开始采取主动,将他们自己的漏洞和后门插入到软件中,正如SolarWinds崩溃所证明的那样。根据Sonatype的一份报告,此类下一代软件供应链攻击正在急剧增长,在过去一年中增长了650%。一些最常见的下一代供应链攻击类型是依赖性或名称空间混淆攻击、域名抢注攻击和恶意源代码注入。多方“涟漪”安全事件,包括供应链数据泄露,成本是传统数据泄露的10倍统计资料来源:《2021年风险面涟漪》,RiskRecon/CyentiaInstitute作为涟漪事件)因为这些涟漪事件是由于单个事件(包括供应链事件)而影响三个或更多公司的安全事件。研究表明,Ripple数据泄露造成的经济损失是传统单方数据泄露的10倍,在最严重的情况下,Ripple数据泄露造成的损失是传统数据泄露造成的损失的26倍。Cyentia研究表明,典型的Ripple数据泄露的影响可能需要很长时间(379天)才能波及75%的下游受害者。自SolarWinds事件以来,69%的高管并未就安全问题向软件供应商提出更多质疑大多数企业仍未必根据这些教训采取行动。Venafi对1,000多名IT和开发人员进行的一项研究发现,自SolarWinds供应链攻击以来,69%的受访者没有向他们的软件提供商询问更多关于他们的软件安全保证流程和代码验证流程的问题。此外,55%的受访者表示,SolarWinds黑客攻击对他们购买软件时的考虑影响不大。这意味着,尽管对供应链攻击的担忧居高不下,但实际上还没有人向供应商施压。
