文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

软件供应链安全令人惊异的六项统计数据

2024-12-02 18:05

关注

以下统计数据反映出了供应链攻击增长、攻击成本和影响,以及受软件供应链不安全因素冲击的企业所表现出的关注程度。

2021年的供应链攻击数量预计是2020年的4倍

统计数据来源:ENISA《供应链攻击威胁态势》,欧盟网络安全局(ENISA),2021年

根据欧盟网络安全局(ENISA)编撰的供应链攻击研究报告,2021年的供应链攻击数量将增加至上一年的四倍之多。该机构报告称,在过去几年观察到的攻击中,一半以上是高级持续性威胁(APT)组织或知名网络攻击团伙实施的。

报告解释称:“随着直接攻击防护良好的企业所需要的成本增高,攻击者更愿意攻击这些企业的供应链,这样更有可能产生潜在的大规模跨界影响。”

45%的企业承认其软件供应链安全工作只完成了一半

统计数据来源:《全球首席级高管安全调查》,Cloudbees,2021年

最近一项针对500名首席级高管进行的企业软件供应链状况调查显示,大约45%的受访者认为,在通过代码签名、工件管理和限制仅依赖可信注册机构等措施保护软件供应链方面,他们的工作只完成了一半。

这项由Regina Corso Consulting接受CloudBees委托进行的研究还表明,假设受访企业的软件供应链受到攻击,64%的高管不知道该首先求助于谁。考虑到93%的受访者表示他们已经准备好应对供应链上的网络攻击,这些坦率的调查结果很有意思:可能意味着企业对软件供应链安全问题的认知存在一定程度的偏差。

64%的企业在过去12个月内受到供应链攻击的影响

统计数据来源:Anchore 《2021年软件供应链安全报告》

Anchore年中报告显示,425名大型企业的IT、安全和DevOps主管中,超过三分之二的人报告称去年受到了供应链攻击的影响。这些攻击获得了其所在企业的关注,因为受访主管中绝大多数(80%)如今报告称,软件供应链安全现在至少某种程度上是企业的关注重点之一了。大约60%的受访主管表示,软件供应链安全是其工作的重中之重。

企业在保护其软件供应链方面最常提到的三个挑战是保护开源软件容器、保护企业编写的代码,以及了解运行软件所需完整软件材料清单——包括开源库和源代码等。

向开源项目中注入新漏洞的“下一代”供应链攻击去年间暴增650%

统计数据来源:《2021年软件供应链状况报告》,Sonatype

企业要担心的不仅仅是盯上未修复已知开源漏洞的老旧软件供应链漏洞利用程序。现在,恶意黑客开始通过在软件中插入他们自己的漏洞和后门来采取主动了,SolarWinds的崩溃就证明了这一点。根据Sonatype的一份报告,此类下一代软件供应链攻击正在急剧增长,在过去一年中增长了650%。

下一代供应链攻击中几种最常见的类型是依赖或命名空间混淆攻击、域名抢注攻击和恶意源代码注入。

包括供应链数据泄露在内的多方“涟漪”安全事件的成本是传统数据泄露的10倍

统计数据来源:《2021年风险面涟漪》,RiskRecon/Cyentia Institute

Cyentia Institute最近受RiskRecon委托进行的一项研究调查了自2008年以来的897起多方数据泄露事件(也称为涟漪事件)。这些涟漪事件是因单一事件(包括供应链事件)而影响了三家或更多公司的安全事件。研究表明,同是中等规模,涟漪数据泄露事件造成的经济损失是传统单方数据泄露事件的10倍,最严重的情况下,涟漪数据泄露事件比传统数据泄露造成的损失高出26倍。

Cyentia的研究表明,典型涟漪数据泄露事件的影响可能需要很长时间(379 天)才能波及到75%的下游受害者。

自SolarWinds事件以来,69%的高管并未就安全问题多加质询软件供应商

统计数据来源:《2021年高管调查》,Venafi

即使在看到SolarWinds供应链安全事件的后果和对其下游影响的分析之后,大多数企业仍未必汲取这些经验教训而采取行动。Venafi对1000多名IT和开发人员进行的一项研究表明,自SolarWinds供应链攻击事件发生以来,69%的受访者并未就软件安全保障过程和代码验证流程向其软件提供商提出更多问题。

此外,55%的受访者表示,SolarWinds黑客事件对他们购买软件时考虑的问题几乎没有影响。这意味着,尽管对供应链攻击的担忧居高不下,但实际上还没人真正对供应商施加压力。

 

来源:数世咨询内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯