在当今的数字时代,软件占据主导地位,成为全球组织业务和创新的支柱。它是差异化、项目效率、成本降低和竞争力背后的驱动力。软件决定了企业如何运营、管理与客户、员工和合作伙伴的关系,以及充分利用他们的数据。
挑战在于,当今的大多数软件都不是从头开始开发的,也不是将安全性放在首位。无论是内部开发(“第一方”)还是外部采购(“第三方”),它通常包含预构建代码块的复杂组合,其中许多代码块使用开源库,并且可能具有不同的年龄和质量。
事实上,我们对 2023 年 TruRisk 研究报告中超过 13 万亿个匿名数据点的分析发现,79% 的已安装服务器使用开源组件。
这一现实给所谓的“软件供应链”带来了漏洞,为寻求利用薄弱环节访问关键数据和系统的攻击者提供了主要目标,特别是在当今的多云环境中。因此,研究公司 Enterprise Strategy Group (ESG) 最近的一项调查发现,惊人的 91% 的受访者表示在过去 12 个月内经历过软件供应链事件,这一点也就不足为奇了。
鉴于这些风险,保护软件供应链变得更加重要。那么,企业可以采取哪些措施来防御软件供应链攻击呢?”
内部软件管理:加强安全的重要一步
安全团队必须首先创建公司现有第一方软件的全面清单,包括其不同的组件和版本。
令人惊讶的是,许多组织都在努力实现这种基本的洞察力。
为什么有差距?通常,由于依赖手动检查和运行脱节的基于脚本的测试来评估第一方软件。这种方法会导致评估不一致和遗漏漏洞,而传统工具无法检测嵌入式开源软件包则加剧了这种情况。
扩展您的安全方法以涵盖第一方软件应用程序至关重要。通过这样做,您可以使团队能够识别风险并确定风险的优先级,为全面实施稳健的安全措施奠定坚实的基础。
物料清单:通过透明度增强安全性
第三方软件提出了独特的挑战:如果没有所有权,就很难评估潜伏在其中的安全风险。软件物料清单 (SBOM) 是一种在网络安全领域越来越受欢迎的解决方案。
SBOM 通过列出应用程序中使用的所有组件来提供重要的见解,使团队能够识别漏洞并有效地确定优先级和管理风险。尽管 SBOM 仍处于新兴阶段,但它正在全球范围内获得监管支持。
例如,澳大利亚网络安全中心 (ACSC) 在 2023 年 3 月发布的《软件开发指南》中强调了 SBOM 的重要性,美国政府和欧盟也围绕 SBOM 制定了相关授权,强调了它们在增强网络弹性方面的重要性。
尽管如此,SBOM 经常在 CISO 的待办事项清单上因优先事项相互竞争而陷入困境。然而,它们的实施对于防范不断变化的网络威胁仍然至关重要,值得全球企业的关注和采取行动。
改进围绕安全的整体流程
与任何安全工作一样,保护软件供应链取决于传入的数据以及将信息转化为行动的速度。然而,现代软件的复杂性意味着很容易忽视潜在的漏洞,无论是您自己组织的软件还是其他公司或来源的产品。
增强安全性首先要获取全面的数据。然而,仅有数据还不够,它必须结合实际情况才能付诸行动。如果没有这种洞察力,在应用程序中确定更改的优先级或让供应商对更新负责就会变得令人畏惧。同样,管理潜在风险并在问题出现之前避免问题也成为一项艰巨的任务。
因此,风险和软件治理的整体方法至关重要。通过集成有关第一方和第三方应用程序风险的数据,您的团队可以更好地了解潜在威胁、识别必要的更改并促进有效的问题解决。
技术的转变
对不断变化的网络威胁保持警惕至关重要,特别是在关键安全技能短缺的情况下。
在这里,必须利用技术来自动收集数据、持续洞察软件基础设施并有效地确定风险的优先级,以便在潜在威胁升级之前主动领先。
然而,不同安全工具在分散环境中的激增可能会导致混乱,因为它们提供了关于组织风险的不同视角,阻碍了有效的风险管理和补救工作。
我们需要一个统一的平台来整合跨环境(包括多云)的数据,提供全面的可见性和上下文以高效解决安全问题,促进安全、IT 和开发团队之间的协作,简化风险缓解工作并保护关键应用程序。
特别是,现代人工智能驱动的工具现在可以毫不费力地扫描各种计算工作负载的开源软件,通过识别多云环境中的漏洞并促进快速解决问题来显着降低供应链风险。
同样,网络安全资产管理解决方案可以帮助解决管理未知或未托管资产的挑战,包括软件以及基于云的工作负载和物联网设备。通过利用此类工具嗅探网络流量,客户发现的不受管理和不受信任的资产平均增加了 34%,并将其与业务环境和风险评估无缝集成到漏洞管理计划中。
最后的想法
在供应链攻击不断增加的情况下,保护软件组件的重要性怎么强调都不为过,并且需要持续的警惕和奉献。企业必须通过采取全面的方法并培养安全意识文化来解决供应链安全方面的差距。
通过优先考虑供应链安全并提高透明度和问责制,企业可以加强其软件运营并防范不断发展的数字环境中出现的新威胁。
