询问1000名 cio,他们是否认为他们的组织容易受到针对他们软件供应链的网络攻击,预计大约82% 的人会同意。
安全业务 Venafi 聘请了研究公司 Coleman Parkes 向来自美国、英国、法国、德国、奥地利、瑞士、比利时、荷兰、卢森堡、澳大利亚和新西兰的企业 IT 领导人提出了这个问题。
结果是一张强烈的不信任票。
Venafi 在周二发布的报告中表示: “结果显示,虽然 cio 们了解这类攻击的风险,但他们尚未掌握基本的组织变革和新的安全控制措施,他们需要将这些措施纳入自己的安全态势,以降低供应链攻击的风险,这些攻击对他们自己和客户都可能是毁灭性的。”。
这些 IT 主管需要尽快了解情况——85% 的受访者表示,他们已经接到 CEO 或公司董事会的指示,采取行动改善软件开发和构建环境的安全性。
要怪就怪 SolarWinds、 codeuv 和 Kaseya ——这些公司的企业软件开发工具在复杂的攻击中受到了损害,影响了他们的客户——更不用说过去五年在流行的开源软件注册中心发生的有毒软件包了。
Venafi 的威胁情报和业务开发副总裁 Kevin Bocek 在一份声明中说: “数字化转型使得每个企业都成为了软件开发者”。“因此,软件开发环境成为攻击者的巨大目标。黑客们发现,成功的供应链攻击效率极高,利润也更高。”
在过去的两年里,这些攻击已经在华盛顿掀起巨大波澜,促使联邦政府努力加强软件供应链的安全。从那时起,就不断有人提醒我们,现代软件开发需要太多的信任。
韦纳菲的报告发现,一些行动已经被采取,使情况向好的方向发展。68% 的受访者表示,他们已经实施了更多的安全控制,56% 的人正在更多地使用代码签名,47% 的人正在查看他们的开源库的出处。
然而,跨组织的安全强制措施常常略显不足。大约95% 的信息安全团队已经获得了应用于软件供应链的安全控制权。与此同时,几乎三分之一的团队缺乏执行他们政策的能力。根据 Venifi 的调查,31% 的信息安全团队可以推荐安全控制,但不能强制执行。
除此之外,还要加上信息安全和开发之间的鸿沟——87% 的受访者表示,他们相信软件开发人员有时会为了更快地交付产品和服务而妥协安全控制和策略。
处理机器身份管理的 Venafi 将其发现视为一个机会,可以倡导在 CI/CD 构建管道中进行更多的代码签名。毫无疑问,这是一个自我服务的论点,但是这个论点与诸如 Sigstore 之类的行业倡议以及安全顾问所呼吁的诸如 NPM 之类的代码注册中心相一致。
代码签名当然意味着您必须保护私有的代码签名密钥——这是 Codecov 无法完全管理的——但从来没有人说过安全是容易的。
资料来源:CIOs admit their software supply chain is vulnerable • The Register
泛联新安拥有专业的经验来帮助企业完善他们的软件安全体系。如果您还没有软件供应链安全工具,可以考虑泛联新安的DevSecOps体系。这能帮助您缩短解决问题的时间,同时有效的实现安全左移,将问题阻断在开始阶段。
扫一扫
1305
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
