在當(dāng)今的數(shù)字時(shí)代，軟件占據(jù)主導(dǎo)地位，成為全球組織業(yè)務(wù)和創(chuàng)新的支柱。它是差異化、項(xiàng)目效率、成本降低和競(jìng)爭(zhēng)力背后的驅(qū)動(dòng)力。軟件決定了企業(yè)如何運(yùn)營(yíng)、管理與客戶(hù)、員工和合作伙伴的關(guān)系，以及充分利用他們的數(shù)據(jù)。

挑戰(zhàn)在于，當(dāng)今的大多數(shù)軟件都不是從頭開(kāi)始開(kāi)發(fā)的，也不是將安全性放在首位。無(wú)論是內(nèi)部開(kāi)發(fā)（“第一方”）還是外部采購(gòu)（“第三方”），它通常包含預(yù)構(gòu)建代碼塊的復(fù)雜組合，其中許多代碼塊使用開(kāi)源庫(kù)，并且可能具有不同的年齡和質(zhì)量。?

事實(shí)上，我們對(duì) 2023 年 TruRisk 研究報(bào)告中超過(guò) 13 萬(wàn)億個(gè)匿名數(shù)據(jù)點(diǎn)的分析發(fā)現(xiàn)，79% 的已安裝服務(wù)器使用開(kāi)源組件。

這一現(xiàn)實(shí)給所謂的“軟件供應(yīng)鏈”帶來(lái)了漏洞，為尋求利用薄弱環(huán)節(jié)訪問(wèn)關(guān)鍵數(shù)據(jù)和系統(tǒng)的攻擊者提供了主要目標(biāo)，特別是在當(dāng)今的多云環(huán)境中。因此，研究公司 Enterprise Strategy Group (ESG) 最近的一項(xiàng)調(diào)查發(fā)現(xiàn)，驚人的 91% 的受訪者表示在過(guò)去 12 個(gè)月內(nèi)經(jīng)歷過(guò)軟件供應(yīng)鏈?zhǔn)录?，這一點(diǎn)也就不足為奇了。

鑒于這些風(fēng)險(xiǎn)，保護(hù)軟件供應(yīng)鏈變得更加重要。那么，企業(yè)可以采取哪些措施來(lái)防御軟件供應(yīng)鏈攻擊呢？”

內(nèi)部軟件管理：加強(qiáng)安全的重要一步

安全團(tuán)隊(duì)必須首先創(chuàng)建公司現(xiàn)有第一方軟件的全面清單，包括其不同的組件和版本。?

令人驚訝的是，許多組織都在努力實(shí)現(xiàn)這種基本的洞察力。

為什么有差距？通常，由于依賴(lài)手動(dòng)檢查和運(yùn)行脫節(jié)的基于腳本的測(cè)試來(lái)評(píng)估第一方軟件。這種方法會(huì)導(dǎo)致評(píng)估不一致和遺漏漏洞，而傳統(tǒng)工具無(wú)法檢測(cè)嵌入式開(kāi)源軟件包則加劇了這種情況。

擴(kuò)展您的安全方法以涵蓋第一方軟件應(yīng)用程序至關(guān)重要。通過(guò)這樣做，您可以使團(tuán)隊(duì)能夠識(shí)別風(fēng)險(xiǎn)并確定風(fēng)險(xiǎn)的優(yōu)先級(jí)，為全面實(shí)施穩(wěn)健的安全措施奠定堅(jiān)實(shí)的基礎(chǔ)。

物料清單：通過(guò)透明度增強(qiáng)安全性

第三方軟件提出了獨(dú)特的挑戰(zhàn)：如果沒(méi)有所有權(quán)，就很難評(píng)估潛伏在其中的安全風(fēng)險(xiǎn)。軟件物料清單 (SBOM) 是一種在網(wǎng)絡(luò)安全領(lǐng)域越來(lái)越受歡迎的解決方案。

SBOM 通過(guò)列出應(yīng)用程序中使用的所有組件來(lái)提供重要的見(jiàn)解，使團(tuán)隊(duì)能夠識(shí)別漏洞并有效地確定優(yōu)先級(jí)和管理風(fēng)險(xiǎn)。盡管 SBOM 仍處于新興階段，但它正在全球范圍內(nèi)獲得監(jiān)管支持。

例如，澳大利亞網(wǎng)絡(luò)安全中心 (ACSC) 在 2023 年 3 月發(fā)布的《軟件開(kāi)發(fā)指南》中強(qiáng)調(diào)了 SBOM 的重要性，美國(guó)政府和歐盟也圍繞 SBOM 制定了相關(guān)授權(quán)，強(qiáng)調(diào)了它們?cè)谠鰪?qiáng)網(wǎng)絡(luò)彈性方面的重要性。

盡管如此，SBOM 經(jīng)常在 CISO 的待辦事項(xiàng)清單上因優(yōu)先事項(xiàng)相互競(jìng)爭(zhēng)而陷入困境。然而，它們的實(shí)施對(duì)于防范不斷變化的網(wǎng)絡(luò)威脅仍然至關(guān)重要，值得全球企業(yè)的關(guān)注和采取行動(dòng)。

改進(jìn)圍繞安全的整體流程

與任何安全工作一樣，保護(hù)軟件供應(yīng)鏈取決于傳入的數(shù)據(jù)以及將信息轉(zhuǎn)化為行動(dòng)的速度。然而，現(xiàn)代軟件的復(fù)雜性意味著很容易忽視潛在的漏洞，無(wú)論是您自己組織的軟件還是其他公司或來(lái)源的產(chǎn)品。

增強(qiáng)安全性首先要獲取全面的數(shù)據(jù)。然而，僅有數(shù)據(jù)還不夠，它必須結(jié)合實(shí)際情況才能付諸行動(dòng)。如果沒(méi)有這種洞察力，在應(yīng)用程序中確定更改的優(yōu)先級(jí)或讓供應(yīng)商對(duì)更新負(fù)責(zé)就會(huì)變得令人畏懼。同樣，管理潛在風(fēng)險(xiǎn)并在問(wèn)題出現(xiàn)之前避免問(wèn)題也成為一項(xiàng)艱巨的任務(wù)。

因此，風(fēng)險(xiǎn)和軟件治理的整體方法至關(guān)重要。通過(guò)集成有關(guān)第一方和第三方應(yīng)用程序風(fēng)險(xiǎn)的數(shù)據(jù)，您的團(tuán)隊(duì)可以更好地了解潛在威脅、識(shí)別必要的更改并促進(jìn)有效的問(wèn)題解決。

技術(shù)的轉(zhuǎn)變

對(duì)不斷變化的網(wǎng)絡(luò)威脅保持警惕至關(guān)重要，特別是在關(guān)鍵安全技能短缺的情況下。

在這里，必須利用技術(shù)來(lái)自動(dòng)收集數(shù)據(jù)、持續(xù)洞察軟件基礎(chǔ)設(shè)施并有效地確定風(fēng)險(xiǎn)的優(yōu)先級(jí)，以便在潛在威脅升級(jí)之前主動(dòng)領(lǐng)先。

然而，不同安全工具在分散環(huán)境中的激增可能會(huì)導(dǎo)致混亂，因?yàn)樗鼈兲峁┝岁P(guān)于組織風(fēng)險(xiǎn)的不同視角，阻礙了有效的風(fēng)險(xiǎn)管理和補(bǔ)救工作。

我們需要一個(gè)統(tǒng)一的平臺(tái)來(lái)整合跨環(huán)境（包括多云）的數(shù)據(jù)，提供全面的可見(jiàn)性和上下文以高效解決安全問(wèn)題，促進(jìn)安全、IT 和開(kāi)發(fā)團(tuán)隊(duì)之間的協(xié)作，簡(jiǎn)化風(fēng)險(xiǎn)緩解工作并保護(hù)關(guān)鍵應(yīng)用程序。

特別是，現(xiàn)代人工智能驅(qū)動(dòng)的工具現(xiàn)在可以毫不費(fèi)力地掃描各種計(jì)算工作負(fù)載的開(kāi)源軟件，通過(guò)識(shí)別多云環(huán)境中的漏洞并促進(jìn)快速解決問(wèn)題來(lái)顯著降低供應(yīng)鏈風(fēng)險(xiǎn)。

同樣，網(wǎng)絡(luò)安全資產(chǎn)管理解決方案可以幫助解決管理未知或未托管資產(chǎn)的挑戰(zhàn)，包括軟件以及基于云的工作負(fù)載和物聯(lián)網(wǎng)設(shè)備。通過(guò)利用此類(lèi)工具嗅探網(wǎng)絡(luò)流量，客戶(hù)發(fā)現(xiàn)的不受管理和不受信任的資產(chǎn)平均增加了 34%，并將其與業(yè)務(wù)環(huán)境和風(fēng)險(xiǎn)評(píng)估無(wú)縫集成到漏洞管理計(jì)劃中。

最后的想法

在供應(yīng)鏈攻擊不斷增加的情況下，保護(hù)軟件組件的重要性怎么強(qiáng)調(diào)都不為過(guò)，并且需要持續(xù)的警惕和奉獻(xiàn)。企業(yè)必須通過(guò)采取全面的方法并培養(yǎng)安全意識(shí)文化來(lái)解決供應(yīng)鏈安全方面的差距。?

通過(guò)優(yōu)先考慮供應(yīng)鏈安全并提高透明度和問(wèn)責(zé)制，企業(yè)可以加強(qiáng)其軟件運(yùn)營(yíng)并防范不斷發(fā)展的數(shù)字環(huán)境中出現(xiàn)的新威脅。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-854097.html

到了這里，關(guān)于軟件供應(yīng)鏈安全：尋找最薄弱的環(huán)節(jié)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！