RSAC 2022现场：ISACA发布全球软件供应链安全报告

编译：代码卫士

本周，ISACA（国际信息系统审计协会）发布《供应链安全差距：2022年全球研究报告》。

报告收录了1300多名IT专业人员对于供应链的看法。25%的受访者证实所在组织机构在过去一年中遭到供应链攻击，超过一半（53%）的受访人员认为供应链问题将在未来六个月还将继续或者更加糟糕。

30%的受访者认为所在组织机构领导人员并未充分了解供应链风险。另外，不到一半 (44%)的受访者表示对组织机构的供应链安全很有信心，同样比例的受访者对于供应链的访问控制很有信心。

受访人员担心的五大供应链风险包括：勒索攻击（73%）、供应商的不良信息安全实践（66%）、软件安全漏洞（65%）、第三方数据存储（61%），以及对信息系统、软件代码或IP具有物理或虚拟访问权限的第三方服务提供商或厂商（55%）。

为了更加深入了解该报告，本文原作者对前 ISACA 理事长、NACD 董事会领导层成员以及White Clous 安全公司的董事会成员 Rob Clyde 在其参加RSA 2022大会期间进行了采访。

Q：报告提到，25%的受访者表示在过去12个月中曾遭受供应链攻击。您对这一结果感到吃惊吗？

A：我对这个比例有点吃惊，没想到有这么高。显然，很多组织机构在过去12个月的时间里遭受了攻击，但我认为归罪于供应链的攻击数量没有这么多。它肯定表明这个问题越来越多，尽管我想强调的是它并非新问题。因其中一款供应商产品而导致漏洞的产生这个看法已经存在很长时间了，不过人们对如何解决这个问题的关注也在增多。

Q：更多的组织机构意识到供应链攻击的威胁，这是令人鼓舞的情况吗？

A：我认为组织机构对供应链攻击的关注令人鼓舞。更重要的是，作为供应链组成部分的厂商在非常严肃地对待这个问题。然而，我确实认为你可能会掉入某些陷阱中并采取伴随大量调查问卷的法律路径模式，而这并非管理供应链的正确方法。

Q：报告指出，30%的受访人员认为所在组织机构领导层并没有充分理解供应链风险，您对此怎么看？为什么会这样？

A：我们在这里讨论的是软件供应链。想象一下，当你获得一款软件产品时，你怎么知道产品中还有什么其它东西？它不仅是通过该企业的专有代码构建，很可能使用了开源和源自其它企业的其它库和代码。因此，纳入清单即物料清单很重要。这样，当某款开源软件中含有某个bug，你可以了解到其它含有该bug的产品有哪些。只需要快速提出这个问题并得到答案，你就可以查看并筛选出多家不同的供应商。

Q：组织机构如何可更好地了解供应链风险？

A：我非常赞同从社区学习这一方法，比如参加RSA大会等以及通过参加非营利性组织机构如 ISACA提供的相关主题安全培训和知识网络研讨会进行学习。有一个明显的点是如果组织机构中的IT审计员工拥有ISACA CISA等证书，则它的供应链风险减少。获得认证确实展现了某种程度的敬业和学习。

Q：在组织机构应该如何提高供应链安全方面，这份报告的最大启示在什么地方？

A：其中一点是对增加对厂商提出的问题数量方面要谨慎。你打算如何处理分析所有这些问题？一些关键问题反而效果更好。这些问题应当集中在更好地了解供应商组织机构使用的流程尤其是和安全流程相关的方面。例如，他们是否有软件成分分析？

另外，很多厂商正在对产品进行渗透测试，因此你应该要求获取渗透测试报告。除此以外，很多厂商会运行静态和动态应用安全测试。这种测试需要成为流程的一部分，询问他们可以展示除了调查问卷内容以外的产品的安全性。这将鼓励厂商不仅是口头说说 DevSecOps 而已，而是实际展示确实在做。

Q：报告还有哪些地方是让您感到惊讶的？

A：调查报告的其它部分和我的预期一致。勒索软件确实是最令人担忧的问题。因此我看到很多验证表明我们比以往更加关注供应链，而且我们认为其中一个关键风险就是勒索软件。我们仍然处于管理供应链的早期阶段，厂商仍然处于提供必要信息使其更易于管理供应链的早期阶段。

Q：报告的积极之处是什么？

A：从很多方面来看，这份报告稍有一些悲观，这是相当平实的反映。在整个世界范围内，过去一年我们突然意识到自己遭到供应链攻击。从积极方面来看，我们意识到了自己被突然攻击，同时多数组织机构，不管是供应侧还是消费侧，都意识到了这个问题并尝试找出解决之道。挑战在于选择做正确的事情，而不是把时间浪费在无用的地方。

原文链接

https://www.infosecurity-magazine.com/interviews/isaca-supply-chain-report/

https://www.isaca.org/-/media/files/isacadp/project/isaca/resources/reports/supply-chain-security-gaps-a-2022-global-research-report_202205.pdf

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。