2020年底爆發(fā)SolarWinds黑客事件，相關(guān)新聞和分析文章為有關(guān)軟件供應(yīng)鏈安全的討論定下了基調(diào)。攻擊者總是尋找阻力最小的入侵路徑，而且他們逐漸發(fā)現(xiàn)，跟在軟件供應(yīng)商大型數(shù)據(jù)泄露事件后面可以更輕松地獲得這些供應(yīng)商眾多客戶的訪問權(quán)限。

以下統(tǒng)計(jì)數(shù)據(jù)反映出了供應(yīng)鏈攻擊增長、攻擊成本和影響，以及受軟件供應(yīng)鏈不安全因素沖擊的企業(yè)所表現(xiàn)出的關(guān)注程度。

2021年的供應(yīng)鏈攻擊數(shù)量預(yù)計(jì)是2020年的4倍

統(tǒng)計(jì)數(shù)據(jù)來源：ENISA《供應(yīng)鏈攻擊威脅態(tài)勢》，歐盟網(wǎng)絡(luò)安全局(ENISA)，2021年

根據(jù)歐盟網(wǎng)絡(luò)安全局(ENISA)編撰的供應(yīng)鏈攻擊研究報(bào)告，2021年的供應(yīng)鏈攻擊數(shù)量將增加至上一年的四倍之多。該機(jī)構(gòu)報(bào)告稱，在過去幾年觀察到的攻擊中，一半以上是高級持續(xù)性威脅(APT)組織或知名網(wǎng)絡(luò)攻擊團(tuán)伙實(shí)施的。

報(bào)告解釋稱：“隨著直接攻擊防護(hù)良好的企業(yè)所需要的成本增高，攻擊者更愿意攻擊這些企業(yè)的供應(yīng)鏈，這樣更有可能產(chǎn)生潛在的大規(guī)?？缃缬绊憽?rdquo;

45%的企業(yè)承認(rèn)其軟件供應(yīng)鏈安全工作只完成了一半

統(tǒng)計(jì)數(shù)據(jù)來源：《全球首席級高管安全調(diào)查》，Cloudbees，2021年

最近一項(xiàng)針對500名首席級高管進(jìn)行的企業(yè)軟件供應(yīng)鏈狀況調(diào)查顯示，大約45%的受訪者認(rèn)為，在通過代碼簽名、工件管理和限制僅依賴可信注冊機(jī)構(gòu)等措施保護(hù)軟件供應(yīng)鏈方面，他們的工作只完成了一半。

這項(xiàng)由Regina Corso Consulting接受CloudBees委托進(jìn)行的研究還表明，假設(shè)受訪企業(yè)的軟件供應(yīng)鏈?zhǔn)艿焦簦?4%的高管不知道該首先求助于誰?？紤]到93%的受訪者表示他們已經(jīng)準(zhǔn)備好應(yīng)對供應(yīng)鏈上的網(wǎng)絡(luò)攻擊，這些坦率的調(diào)查結(jié)果很有意思：可能意味著企業(yè)對軟件供應(yīng)鏈安全問題的認(rèn)知存在一定程度的偏差。

64%的企業(yè)在過去12個(gè)月內(nèi)受到供應(yīng)鏈攻擊的影響

統(tǒng)計(jì)數(shù)據(jù)來源：Anchore 《2021年軟件供應(yīng)鏈安全報(bào)告》

Anchore年中報(bào)告顯示，425名大型企業(yè)的IT、安全和DevOps主管中，超過三分之二的人報(bào)告稱去年受到了供應(yīng)鏈攻擊的影響。這些攻擊獲得了其所在企業(yè)的關(guān)注，因?yàn)槭茉L主管中絕大多數(shù)(80%)如今報(bào)告稱，軟件供應(yīng)鏈安全現(xiàn)在至少某種程度上是企業(yè)的關(guān)注重點(diǎn)之一了。大約60%的受訪主管表示，軟件供應(yīng)鏈安全是其工作的重中之重。

企業(yè)在保護(hù)其軟件供應(yīng)鏈方面最常提到的三個(gè)挑戰(zhàn)是保護(hù)開源軟件容器、保護(hù)企業(yè)編寫的代碼，以及了解運(yùn)行軟件所需完整軟件材料清單——包括開源庫和源代碼等。

向開源項(xiàng)目中注入新漏洞的“下一代”供應(yīng)鏈攻擊去年間暴增650%

統(tǒng)計(jì)數(shù)據(jù)來源：《2021年軟件供應(yīng)鏈狀況報(bào)告》，Sonatype

企業(yè)要擔(dān)心的不僅僅是盯上未修復(fù)已知開源漏洞的老舊軟件供應(yīng)鏈漏洞利用程序。現(xiàn)在，惡意黑客開始通過在軟件中插入他們自己的漏洞和后門來采取主動了，SolarWinds的崩潰就證明了這一點(diǎn)。根據(jù)Sonatype的一份報(bào)告，此類下一代軟件供應(yīng)鏈攻擊正在急劇增長，在過去一年中增長了650%。

下一代供應(yīng)鏈攻擊中幾種最常見的類型是依賴或命名空間混淆攻擊、域名搶注攻擊和惡意源代碼注入。

包括供應(yīng)鏈數(shù)據(jù)泄露在內(nèi)的多方“漣漪”安全事件的成本是傳統(tǒng)數(shù)據(jù)泄露的10倍

統(tǒng)計(jì)數(shù)據(jù)來源：《2021年風(fēng)險(xiǎn)面漣漪》，RiskRecon/Cyentia Institute

Cyentia Institute最近受RiskRecon委托進(jìn)行的一項(xiàng)研究調(diào)查了自2008年以來的897起多方數(shù)據(jù)泄露事件(也稱為漣漪事件)。這些漣漪事件是因單一事件(包括供應(yīng)鏈?zhǔn)录?而影響了三家或更多公司的安全事件。研究表明，同是中等規(guī)模，漣漪數(shù)據(jù)泄露事件造成的經(jīng)濟(jì)損失是傳統(tǒng)單方數(shù)據(jù)泄露事件的10倍，最嚴(yán)重的情況下，漣漪數(shù)據(jù)泄露事件比傳統(tǒng)數(shù)據(jù)泄露造成的損失高出26倍。

Cyentia的研究表明，典型漣漪數(shù)據(jù)泄露事件的影響可能需要很長時(shí)間(379 天)才能波及到75%的下游受害者。

自SolarWinds事件以來，69%的高管并未就安全問題多加質(zhì)詢軟件供應(yīng)商

統(tǒng)計(jì)數(shù)據(jù)來源：《2021年高管調(diào)查》，Venafi

即使在看到SolarWinds供應(yīng)鏈安全事件的后果和對其下游影響的分析之后，大多數(shù)企業(yè)仍未必汲取這些經(jīng)驗(yàn)教訓(xùn)而采取行動。Venafi對1000多名IT和開發(fā)人員進(jìn)行的一項(xiàng)研究表明，自SolarWinds供應(yīng)鏈攻擊事件發(fā)生以來，69%的受訪者并未就軟件安全保障過程和代碼驗(yàn)證流程向其軟件提供商提出更多問題。

此外，55%的受訪者表示，SolarWinds黑客事件對他們購買軟件時(shí)考慮的問題幾乎沒有影響。這意味著，盡管對供應(yīng)鏈攻擊的擔(dān)憂居高不下，但實(shí)際上還沒人真正對供應(yīng)商施加壓力。