軟體供應商是網路安全致命弱點?資料顯示93%公司因第三方面臨安全漏洞

軟體安全是網路安全的基礎部分，現如今網路攻擊頻繁而又出人意料，確保網路系統中軟體安全的高透明度，無疑會使企業網安防禦系統“如虎添翼”。

在當前網路安全已被企業格外重視的前提下，來自第三方安全狀況不透明的軟體為企業網路帶來很大風險。或者可以說，大資料時代，用來產生、儲存、使用“資料”的主體軟體安全狀況不明，就很可能造成企業的資料洩露，從而引發一系列不可預計的嚴重後果。

我們可以花費大量資金來做好網路安全防禦，以使攻擊者無法破壞網路系統;也可以在最新技術和開發培訓實踐方面投入大量資金和精力，來提高相關工作人員的安全意識和保密意識，免受網路釣魚陷阱。

但根據新的研究，這些自我防禦所有努力都可能是徒勞的。因為第三方軟體供應商很可能是鏈條中的薄弱環節。

網路安全公司BlueVoyant透過對英國、北美、德國、荷蘭和新加坡各行各業的公司進行的大規模調查，結果令人吃驚。93%的受訪者表示，由於第三方解決方案，他們面臨著網路安全漏洞。調查物件包括負責供應鏈和風險管理的CIO、CISO和CPO等1200名人員。

總的來說，97%的接受調查的公司受到了軟體供應鏈中發生的網路安全漏洞的負面影響。

另外，93%的受訪者告訴BlueVoyant工作人員，由於軟體供應鏈存在缺陷，他們的軟體系統直接引入了網路安全漏洞。

最薄弱的環節

當涉及到網路安全時，第三方解決方案通常被認為時便利且安全的。但現實情況卻大不相同：過去12個月遭遇的入侵平均數量從2020年的2.7次增長到2021年的3.7次，同比增長37%。

儘管我們看到人們對這一問題的意識正在提高，但違規及其帶來的負面影響仍然驚人地高，而持續監控的普及率仍然低得令人擔憂。更令人擔憂的是，一些公司似乎還沒有這種安全意識。

13%的公司表示第三方網路風險並不是他們公司首要關注的工作任務。但相較於去年，這一比例有所下降，當時31%的公司表示軟體供應鏈和第三方網路安全風險不在其關注範圍之內。

軟體安全狀況透明度低

當企業出現網路安全問題時，企業無疑希望能迅速找到問題所在並嘗試解決。但在這次調查中發現，企業的軟體系統尤其是第三方軟體無法判斷其安全性。38%的企業表示他們無法知道第三方軟體供應商的網路安全狀況及是否會出現問題，這一資料比去年上漲7%。

與2020年相比，2021年對第三方網路安全風險管理的預算增加的企業比例持平，為91%，這說明，公司意識到需要投資於網路安全和軟體供應商風險管理上。

然而，仍舊存在的廣泛痛點表明，這項投資的效果並不盡如人意，這和缺乏可見性、監控和高階安全報告有關。 這強調了在處理第三方網路安全風險時需要進一步改進，以減少被網路攻擊風險和資料洩露。

軟體供應鏈安全可能影響到任何一家企業。駭客利用SolarWinds Orion漏洞攻擊美國多個機構;摩根士丹利資料洩露事件中，攻擊者透過第三方供應商的Accellion FTA伺服器竊取資訊......此類事件不勝列舉。

應用軟體在數字化社會中佔有重要地位，隨著對應用軟體的需求增加，依賴於第三方軟體供應商的企業在不斷增長。但對其安全性的不可見很容易導致自身網路系統處於風險之中。如何確保來自第三方的軟體安全?在等保2.0中表示，對於來自外包開發的軟體，在交付前應檢測其中可能存在的惡意程式碼，同時提供軟體設計文件及使用指南。

產生、儲存、使用“資料”的主體，均為軟體，保障資料安全的第一步是保障軟體自身的安全。 靜態程式碼檢測工具可以幫助開發人員在開發階段發現缺陷及安全漏洞，利於第一時間修補，同時降低經濟損失和安全風險。

參讀連結：

https://cybernews.com/security/third-party-vendors-are-companies-achilles-heel/