软件供应链的弱点已经在企业中普遍存在。这是根据BlueVoyant 的一份新报告得出的结论,该报告今天发布了其对第三方网络风险管理的第二次年度全球调查的结果。研究表明,97% 的公司受到了供应链网络安全漏洞的负面影响,93% 的公司承认由于供应链中的弱点,他们遭受了直接的网络安全漏洞。
BlueVoyant 第三方网络风险管理全球负责人亚当·比克斯勒(Adam Bixler)表示:“尽管我们看到对此问题的认识有所提高,但违规行为和由此产生的负面影响仍然高得惊人,而持续监控的流行率仍然很低,令人担忧。”在一份声明中说。“第三方网络风险只有通过向高级管理团队和董事会进行明确和频繁的简报才能成为战略重点。只要它仍然是一个每年只讨论一两次——或更少讨论的项目——那么网络风险管理将继续从战略角度受到影响,直到不可避免的网络事件泄漏数据、中断运营或使公司陷入困境。”
BlueVoyant 的报告由独立研究机构 Opinion Matters 进行,调查了商业服务、金融服务、医疗保健和制药、制造、公用事业和能源以及国防行业的 1,200 名高管。与直觉相反,结果显示,虽然公司在过去 12 个月内将其网络安全预算增加了 26% 至 100% 以上,但平均违规次数增长更快,从 2020 年的 2.7 次增加到 2021 年的 3.7 次——同比增长 37%年增加。
BlueVoyant 表示,商业服务部门的网络安全和风险团队人数最多,而制造公司最不可能将供应链和第三方网络安全风险确定为关键优先事项。医疗保健提供者——其中 29% 在过去 12 个月内经历了 6 到 10 次违规——表现出最高的第三方网络风险意识,同时,55% 的人认为风险是主要问题。
供应链挑战
BlueVoyant 调查强调了公司在不断扩大的软件供应链中面临的挑战。CrowdStrike援引供应链攻击作为一个崛起的威胁,早在2018年和相信他们将继续是主要的入侵载体。这些攻击通常采用硬件或第三方妥协的形式,使恶意行为者能够从单个入侵点传播到多个下游目标。
根据最近的 Aqua Security报告,73% 的受访者对其阻止软件供应链攻击的能力充满信心,但只有 32% 的受访者对阻止Kinsing恶意软件等威胁所需的运行时功能充满信心,后者仅在运行时下载。
Bixler 说:“我们的研究表明,全球垂直行业、供应链和供应商中存在大量未知的第三方网络风险,并且组织经常遇到供应商引发的违规行为。”“虽然预算在增加,但关键问题是资金应该用于何处以产生切实影响,以降低第三方网络风险。缺乏可见性、战略和监控意味着情况在得到适当关注之前不太可能改善。”
从广义上讲,大流行对网络安全产生了重大影响。现在,网络犯罪每年给全世界造成近 6000 亿美元的损失。与此同时,世界经济论坛报告称,在美国识别和起诉网络攻击肇事者的可能性已降至令人沮丧的 0.05%。
网络投资只会随着黑客瞄准新的数字业务而加速。勒索软件同比增长 148%,到 2021 年迄今估计有 290 万次攻击,欧盟网络安全局 (ENISA) 最近预测,2021 年供应链攻击将比去年增加四倍。Colonial Pipeline 关闭、JBS 的供应链中断以及SolarWinds和Microsoft 的服务器受损等引人注目的事件可能会推动今年全球信息安全和风险管理技术支出增加 12.4%,达到 1500 亿美元。
