91瑟瑟-91社区-91社区第一页-91社区电影-91社区国产-91社区国产在线播放-91社区免费男人-91社区视频

上一篇 下一篇 分享鏈接 返回 返回頂部

為什么軟件供應(yīng)鏈攻擊持續(xù)存在?

發(fā)布人:小億 發(fā)布時(shí)間:2024-11-24 14:09 閱讀量:492

軟件供應(yīng)鏈攻擊的管理仍是安全團(tuán)隊(duì)面臨的主要挑戰(zhàn)。最近的一份Gartner報(bào)告突顯了這一威脅的升級(jí),預(yù)計(jì)這些攻擊的成本到2031年將激增200%,達(dá)到1.38萬(wàn)億美元。更令人擔(dān)憂的統(tǒng)計(jì)數(shù)據(jù)顯示,在2022年5月至2023年4月期間,近三分之二的美國(guó)企業(yè)遭受了此類攻擊。

這些風(fēng)險(xiǎn)并非空穴來(lái)風(fēng)。2020年的SolarWinds Orion攻擊影響了全球1.8萬(wàn)家組織,2021年的Kaseya勒索軟件攻擊波及多達(dá)1500家企業(yè),以及影響深遠(yuǎn)的Log4j漏洞,都表明我們的軟件供應(yīng)鏈?zhǔn)嵌嗝创嗳酰约半S之而來(lái)的毀滅性后果。

簡(jiǎn)而言之,我們的軟件供應(yīng)鏈存在漏洞,且被利用的后果影響深遠(yuǎn)。這引發(fā)了一個(gè)緊迫的問(wèn)題:我們最脆弱的環(huán)節(jié)在哪里?

識(shí)別弱點(diǎn)

軟件供應(yīng)鏈問(wèn)題日益頻繁和嚴(yán)重的背后有多個(gè)因素:

復(fù)雜性和缺乏可見(jiàn)性:軟件供應(yīng)鏈變得更加復(fù)雜,涉及來(lái)自眾多來(lái)源的眾多組件、工具和流程。這使得組織難以對(duì)所有構(gòu)成其軟件的元素保持全面可見(jiàn)性,從而增加了漏洞被忽視的可能性。

對(duì)第三方和開(kāi)源組件的依賴:現(xiàn)代軟件開(kāi)發(fā)高度依賴開(kāi)源庫(kù)和預(yù)構(gòu)建組件,這加快了開(kāi)發(fā)速度,但也引入了潛在漏洞。這些組件可能來(lái)自組織直接控制之外,因此難以確保其安全性。由于這些工具使用廣泛,它們成為攻擊者的誘人目標(biāo)。

對(duì)外部來(lái)源的控制有限:組織通常對(duì)其供應(yīng)商的安全實(shí)踐和第三方代碼的來(lái)源影響有限。缺乏監(jiān)督會(huì)在其安全態(tài)勢(shì)中產(chǎn)生盲點(diǎn),因?yàn)樗鼈兛赡軙?huì)無(wú)意中集成存在漏洞的組件。

快速的開(kāi)發(fā)周期:快速交付軟件的壓力可能導(dǎo)致安全實(shí)踐方面的捷徑。這可能會(huì)在供應(yīng)鏈中引入缺陷,因?yàn)榘踩珯z查被繞過(guò)或未徹底實(shí)施。一旦部署,這些軟件和應(yīng)用程序在開(kāi)發(fā)過(guò)程中引入的漏洞往往沒(méi)有得到頻繁或全面的測(cè)試。

影子IT:隨著組織的成長(zhǎng)、采用新工具以及淘汰過(guò)時(shí)系統(tǒng),攻擊面不斷變化。平均而言,攻擊面每月波動(dòng)4.5%,但未經(jīng)檢查的增長(zhǎng)很常見(jiàn)。當(dāng)未經(jīng)授權(quán)或未被發(fā)現(xiàn)的資產(chǎn)(如工具、服務(wù)或平臺(tái))在沒(méi)有適當(dāng)監(jiān)督的情況下啟動(dòng)時(shí),就會(huì)發(fā)生這種現(xiàn)象,即影子IT。這些資產(chǎn)通常配置不當(dāng)且被遺忘,為攻擊者提供了脆弱的入口點(diǎn)。

但有一個(gè)主要原因可能會(huì)讓即使是最有經(jīng)驗(yàn)的安全團(tuán)隊(duì)感到驚訝:

根據(jù)我們最近的研究,在所有嚴(yán)重安全問(wèn)題中,有高達(dá)34%的問(wèn)題出現(xiàn)在Web服務(wù)器環(huán)境中,包括Apache、NGINX和Microsoft IIS等流行平臺(tái)。這意味著,三分之一的嚴(yán)重漏洞潛伏在我們數(shù)字基礎(chǔ)設(shè)施的最底層。

更令人擔(dān)憂的是基本安全措施的狀況。在接受調(diào)查的Web接口中,近三分之一(31%)未實(shí)施HTTPS,盡管這是一項(xiàng)已有30年歷史的技術(shù)。這種缺乏加密的基本狀況使敏感數(shù)據(jù)暴露于潛在的攔截和篡改風(fēng)險(xiǎn)之中。

當(dāng)我們考慮處理個(gè)人身份信息(PII)的資產(chǎn)時(shí),情況變得更加嚴(yán)峻。只有一半的處理PII的Web接口受到Web應(yīng)用防火墻(WAF)的保護(hù)。這導(dǎo)致大量敏感的個(gè)人數(shù)據(jù)容易受到盜竊和利用。

然后是修復(fù)工作的緩慢進(jìn)展。雖然網(wǎng)絡(luò)安全最佳實(shí)踐建議在15天內(nèi)解決關(guān)鍵漏洞,但現(xiàn)實(shí)卻更加令人擔(dān)憂。平均而言,需要76天才能修復(fù)CISA發(fā)布的咨詢中所提及的嚴(yán)重安全問(wèn)題。這為攻擊者提供了充足的時(shí)間來(lái)利用已知漏洞,并對(duì)毫無(wú)防備的組織造成破壞。

加強(qiáng)Web服務(wù)器安全

為了解決暴露的Web服務(wù)器帶來(lái)的供應(yīng)鏈風(fēng)險(xiǎn),組織應(yīng)采用主動(dòng)、多層次的資產(chǎn)管理和保護(hù)方法。以下是三個(gè)建議示例:

頻繁映射和掃描:定期映射和掃描數(shù)字供應(yīng)鏈中的所有資產(chǎn),以保持對(duì)攻擊面的全面可見(jiàn)性。這一做法得到了CISA的認(rèn)可,有助于發(fā)現(xiàn)新興風(fēng)險(xiǎn),并支持問(wèn)題修復(fù)的服務(wù)級(jí)別協(xié)議(SLA)。

關(guān)鍵資產(chǎn)的強(qiáng)保護(hù):對(duì)于處理敏感信息(如PII)或關(guān)鍵應(yīng)用程序的資產(chǎn),實(shí)施強(qiáng)大的安全措施,但不要忘記基本保護(hù),如強(qiáng)制使用HTTPS連接和使用Web應(yīng)用防火墻(WAF)。將缺乏基線安全保護(hù)視為可能存在更深層次漏洞的警示信號(hào)。

超越CVSS優(yōu)先級(jí):在處理漏洞時(shí),不要僅依賴標(biāo)準(zhǔn)CVSS評(píng)分。利用有關(guān)受影響資產(chǎn)和威脅行為者活動(dòng)的上下文信息來(lái)優(yōu)先處理最關(guān)鍵的威脅,確保資源集中在降低最大風(fēng)險(xiǎn)上。

有效管理供應(yīng)鏈供應(yīng)商對(duì)于維護(hù)安全的軟件供應(yīng)鏈也至關(guān)重要。理想情況下,組織應(yīng)維護(hù)一個(gè)集中的軟件物料清單(SBOM)和資產(chǎn)列表,但實(shí)際情況是,大公司通常面臨重疊的供應(yīng)商列表,導(dǎo)致漏洞百出。使用多個(gè)安全供應(yīng)商可能會(huì)導(dǎo)致政策執(zhí)行的不一致。供應(yīng)商的多樣化提供了監(jiān)督,但需要跨所有資產(chǎn)實(shí)現(xiàn)全面可見(jiàn)性,以防止漏洞并維護(hù)統(tǒng)一的安全態(tài)勢(shì)。

此外,范圍界定可以將組織的攻擊面分解為可控的部分,從而更有效地確定風(fēng)險(xiǎn)的優(yōu)先級(jí)。無(wú)論是關(guān)注互聯(lián)網(wǎng)暴露系統(tǒng)等廣泛資產(chǎn),還是處理個(gè)人身份信息 (PII) 的云托管網(wǎng)頁(yè)接口等更具體目標(biāo),范圍界定都能確保高風(fēng)險(xiǎn)區(qū)域得到應(yīng)有的重視。利用人工智能和機(jī)器學(xué)習(xí)的工具能夠提升范圍界定的準(zhǔn)確性,幫助組織識(shí)別與特定資產(chǎn)相關(guān)的關(guān)鍵風(fēng)險(xiǎn),并保持對(duì)監(jiān)管要求的合規(guī)性。

隨著創(chuàng)新的快速推進(jìn),Web服務(wù)器中的漏洞使得軟件供應(yīng)鏈的安全防護(hù)變得日益復(fù)雜。組織必須采取積極主動(dòng)的態(tài)度來(lái)應(yīng)對(duì)這些挑戰(zhàn),實(shí)施持續(xù)監(jiān)控、強(qiáng)化防護(hù)和智能優(yōu)先排序。通過(guò)保持對(duì)其資產(chǎn)的全面可視性,組織可以更好地防御日益增長(zhǎng)的威脅,確保其數(shù)字基礎(chǔ)設(shè)施的安全。

目錄結(jié)構(gòu)
全文
示例小程序 示例小程序
示例微信 示例微信
服務(wù)熱線: 400-123456
電子郵箱: yihwlkj@163.com
主站蜘蛛池模板: 国产亚洲日韩欧美视频 | 内射人妻无码色AB麻豆 | 天天色综合网站 | 国内精品久久久久鸭 | 亚洲AV成人噜噜无码网站A片 | 中文字幕乱码 电影在线观看 | 免费看啪啪人A片AAA片玩具 | 日日夜夜影院 | 嗯好爽快点插我视频在线播放 | 五月色婷婷丁香无码三级 | 日韩高清一区二区三区不卡 | 国产高清免费视频免费观看 | 花房姑娘HD免费高清版视频 | A片粗大的内捧猛烈进出在线 | 熟妇的荡欲色综合亚洲图片 | 四虎影在线永久免费四虎地址8848aa | 日本护士做xxxxxx视频 | 亚洲成人免费 | 又大又爽又黄无码A片在线观看 | 伧理片午夜伧理片毛片日本 | 2014天堂网| 粗大的内捧猛烈进出在线视频 | 色欲AV久久人妻蜜臀绯色 | 亏亏插曲叫疼的免费网址 | 激情文学综合网 | 精品AV亚洲一区二区 | 有人有片资源吗在线观看WWW视频 | 我爱我色成人网 | 国产精品久久久久久99人妻精品 | 九九这里有精品 | 可以看三级的网站 | 国产精品.XX视频.XXTV | 少妇交换做爰5 | 国产永久视频 | pron国产 | 91精品全国免费观看老司机 | 国产一区二区三区影院 | 无套内谢少妇毛片A片软件 无套内谢少妇毛片A片小说色噜噜 | 亚洲色欲色欲在线大片 | 麻豆AV传媒在线播放免费观看 | 亚洲AV无码无限在线观看不卡 |