软件供应商是网络安全致命弱点?数据显示93%公司因第三方面临安全漏洞
软件安全是网络安全的基础部分,现如今网络攻击频繁而又出人意料,确保网络系统中软件安全的高透明度,无疑会使企业网安防御系统“如虎添翼”。
在当前网络安全已被企业格外重视的前提下,来自第三方安全状况不透明的软件为企业网络带来很大风险。或者可以说,大数据时代,用来产生、存储、使用“数据”的主体软件安全状况不明,就很可能造成企业的数据泄露,从而引发一系列不可预计的严重后果。
我们可以花费大量资金来做好网络安全防御,以使攻击者无法破坏网络系统;也可以在最新技术和开发培训实践方面投入大量资金和精力,来提高相关工作人员的安全意识和保密意识,免受网络钓鱼陷阱。
但根据新的研究,这些自我防御所有努力都可能是徒劳的。因为第三方软件供应商很可能是链条中的薄弱环节。
网络安全公司BlueVoyant通过对英国、北美、德国、荷兰和新加坡各行各业的公司进行的大规模调查,结果令人吃惊。93%的受访者表示,由于第三方解决方案,他们面临着网络安全漏洞。调查对象包括负责供应链和风险管理的CIO、CISO和CPO等1200名人员。
总的来说,97%的接受调查的公司受到了软件供应链中发生的网络安全漏洞的负面影响。
另外,93%的受访者告诉BlueVoyant工作人员,由于软件供应链存在缺陷,他们的软件系统直接引入了网络安全漏洞。
最薄弱的环节
当涉及到网络安全时,第三方解决方案通常被认为时便利且安全的。但现实情况却大不相同:过去12个月遭遇的入侵平均数量从2020年的2.7次增长到2021年的3.7次,同比增长37%。
尽管我们看到人们对这一问题的意识正在提高,但违规及其带来的负面影响仍然惊人地高,而持续监控的普及率仍然低得令人担忧。更令人担忧的是,一些公司似乎还没有这种安全意识。
13%的公司表示第三方网络风险并不是他们公司首要关注的工作任务。但相较于去年,这一比例有所下降,当时31%的公司表示软件供应链和第三方网络安全风险不在其关注范围之内。
软件安全状况透明度低
当企业出现网络安全问题时,企业无疑希望能迅速找到问题所在并尝试解决。但在这次调查中发现,企业的软件系统尤其是第三方软件无法判断其安全性。38%的企业表示他们无法知道第三方软件供应商的网络安全状况及是否会出现问题,这一数据比去年上涨7%。
与2020年相比,2021年对第三方网络安全风险管理的预算增加的企业比例持平,为91%,这说明,公司意识到需要投资于网络安全和软件供应商风险管理上。
然而,仍旧存在的广泛痛点表明,这项投资的效果并不尽如人意,这和缺乏可见性、监控和高级安全报告有关。 这强调了在处理第三方网络安全风险时需要进一步改进,以减少被网络攻击风险和数据泄露。
软件供应链安全可能影响到任何一家企业。黑客利用SolarWinds Orion漏洞攻击美国多个机构;摩根士丹利数据泄露事件中,攻击者通过第三方供应商的Accellion FTA服务器窃取信息......此类事件不胜枚举。
应用软件在数字化社会中占有重要地位,随着对应用软件的需求增加,依赖于第三方软件供应商的企业在不断增长。但对其安全性的不可见很容易导致自身网络系统处于风险之中。如何确保来自第三方的软件安全?在等保2.0中表示,对于来自外包开发的软件,在交付前应检测其中可能存在的恶意代码,同时提供软件设计文档及使用指南。
产生、存储、使用“数据”的主体,均为软件,保障数据安全的第一步是保障软件自身的安全。静态代码检测工具可以帮助开发人员在开发阶段发现缺陷及安全漏洞,利于第一时间修补,同时降低经济损失和安全风险。