软件供应链正面临威胁,这种影响波及各类组织。SolarWinds 和 MOVEit 等安全事件敲响了警钟,凸显了加强可视性和保护的必要性。
加拿大通用银行首席风险和安全官 Adam Ennamli 表示:"当今软件开发的现实是,我们都在构建层层叠加的系统,即使作为技术专业人士也无法完全掌握。现在几乎每个应用程序都是第三方组件的复杂拼接。如果要保持市场竞争力,这是不可避免的。问题在于,虽然这加快了开发周期,但也意味着你在承担未知风险。"
有些团队是在关键的开源组件突然停止维护或出现严重漏洞时,才意识到软件供应链风险的严重性。另一个因素是某些开源项目被故意投毒。同样,互联网上也在增加错误和误导性内容,这些内容会被大语言模型作为训练数据使用。
Ennamli 说:"供应链安全不能仅仅作为安全评估清单上的一项,因为它关系到产品可靠性的根本,也就是客户信任的基础。你需要了解环境中运行的代码、维护者是谁以及更新方式。这不仅仅是扫描软件包,而是要理解应用程序所依赖的整个生态系统。"
CIO 和 CISO 面临的一个主要挑战是数据流的可视性。
全球系统集成商 Myriad360 的现场 CISO Jeremy Ventura 表示:"由于组织环境不断变化和扩展,了解所有第三方供应商、资源和软件组件可能是一个重大障碍。这带来了数据问题:谁可以访问我的数据?我拥有什么类型的数据?我的数据在哪里发送和接收?什么时候访问我的数据?这些都是技术领导者每天应该问自己的问题。"
供应链风险是一项团队运动
开发人员不能独自管理风险,CISO 也不能。
Ventura 说:"有效保护、防御和应对供应链事件应该是多个部门的协作,包括安全、IT、法务、开发、产品等。不应该由单个部门完全负责整个供应链项目,因为它涉及组织内的多个业务单位。通常由 CISO 或安全团队牵头,因为网络安全风险应该被视为业务风险。"
最常见的错误之一是产生虚假的安全感。
Ventura 说:"'如果以前没有出现过供应链问题,为什么现在要修复?'这种思维方式会导致自满,使企业不够重视网络安全。另一个常见错误是组织过度依赖供应商评估,供应商可能声称自己是安全的,但实际上并未实施严格的控制措施。完全相信评估结果而不进行验证可能会导致严重问题。"
如果不关注供应链风险,组织将面临数据泄露、财务损失、合规处罚以及商业和声誉损害的高风险。据 Ventura 介绍,最近一家医疗机构因其供应商遭受攻击而发生数据泄露,导致患者数据丢失,最终受到合规和监管处罚。
"我的建议是关注数据可视性——包括组织数据、客户数据以及可能访问这些数据的第三方,"Ventura 说。"投资能够提供全面软件物料清单 (SBOM) 的解决方案用于审计,并持续对软件供应链供应商进行风险评估。最后,确保安全是多个内部部门共同承担的责任。"
加拿大通用银行的 Ennamli 表示,有效的供应链管理需要四个要素:
"所有这些组件需要协调一致地运作,否则要么会行动太慢而让开发人员感到沮丧,要么会行动太快而失去信任,"Ennamli 说。
JAVLIN Invest 的 CTO 兼首席产品官 Joseph Leung 表示,随着产品规模扩大和市场老化,第三方软件库中的漏洞本质上很难追踪。
"我们使用 OWASP Dependency-Check 等工具自动跟踪依赖关系,但不能完全依赖它。根据我的经验,管理威胁的最佳投资回报是让每个人都承担安全责任,"Leung 说。"在开发流程中制定审查库的政策并定期进行安全审查,这两个简单的流程可以在团队中培养以安全为重点的文化。简而言之,关键是在产品团队所有成员中创造最大的可视性。"
问题的根源在于组织缺乏对其应用程序中使用的第三方组件的洞察。
"漏洞披露的快速节奏可能会让团队不堪重负,"Leung 说。"资源分配、遗留系统和缺乏高管支持可能会进一步使安全工作复杂化。"
全方位建筑和工程公司 American Structurepoint 的 IT 和运营总监 Adam Martin 表示,跨职能协作至关重要。
"IT 和开发团队必须主动扫描和更新系统,而法务和采购部门应该审查供应商的安全实践,"Martin 说。"重要的是,高管层要认同优先考虑软件供应链安全的必要性。"
总结
组织需要更好地了解其应用程序中包含的内容。没有这种可视性,可能会导致各种不良后果,其中最重要的是潜在的责任风险。SBOM 和软件组成分析解决方案很有帮助。同样重要的是完善内部流程,创造重视软件和依赖项可视性的协作文化。
