随着 2023 年即将结束,网络安全领域充斥着各种报告和分析。其中, NSA 2023 网络安全年度回顾 引起了人们的关注。在这动荡的一年里,Xygeni 旨在为理解和缓解软件供应链面临的威胁做出贡献。在软件复杂性势不可挡的时代,我们对开源组件的依赖以及 DevSecOps 和云原生方法的发展已达到新的高度。本文将带您一窥 Xygeni 的报告 深入了解面临的关键挑战 software supply chain security 并在 2023 年提出解决这些问题的策略。
目录
复杂的网络 Software Supply Chain Security
在目前的状态下 SSCS网络威胁日益严峻,给企业和个人都带来了巨大的担忧。远程办公的激增以及对云服务的日益依赖扩大了攻击面,使软件供应链的安全保护面临更加严峻的挑战。软件行业逐渐意识到,供应链已成为蓄意攻击的载体。问题随之而来:我们如何保护这个错综复杂的网络?我们能否信任来自开源社区和商业供应商的软件?组织如何才能让软件消费者相信其不存在漏洞或恶意软件?
Xygeni 的报告将会揭露什么
Xygeni 的报告旨在阐明定义 software supply chain security 2023 年,并初步预测了 2024 年可能发生的事情。该报告将涵盖:
精彩内容:“数字决定一切”
被称为 “数字森林火灾2023 年发生了许多引人关注的事件,包括影响 PyTorch、3CX 和 MOVEit Transfer 的事件。严峻的现实是 82%的组织 目前,软件供应链攻击十分猖獗,供应链中易受攻击组件的数量平均每年增长 50% 以上。NTT Ltd 报告称,科技行业是受到攻击最多的行业,占所有供应链攻击的 28%。
开源软件,包括 70% 到 90% 的当代应用程序堆栈,公共注册中心的恶意软件数量激增——达到了惊人的245,032个实例,是前几年的两倍。
攻击形势
2023 年,网络攻击呈上升趋势, 欧盟网络安全局 记录了 2,580 起安全事件,其中 220 起专门针对多个成员国。勒索软件和拒绝服务攻击占主导地位,但也观察到针对软件供应链的攻击。值得注意的是,人工智能聊天机器人进入了网络安全威胁领域,引发了人们对“廉价假货”和人工智能操纵信息的担忧。
2023 年的攻击技术
攻击者继续利用熟悉的技术,例如鱼叉式网络钓鱼和社会工程、被盗凭证以及依赖项攻击(例如域名抢注包)。然而,2023 年,复杂的方法有所增加,包括 语音网络钓鱼 (语音网络钓鱼)使用人工智能生成的模仿语音的消息。部署在公共注册中心的恶意软件数量达到了惊人的 245,032 个,这凸显了采取强有力的预防措施的必要性。
高级威胁行为者
地缘政治影响了网络行动,国家支持的 APT 从事虚假信息、间谍活动和破坏活动。乌克兰战争成为焦点,展示了俄罗斯、伊朗和朝鲜参与者的网络行动。中国巩固了其作为全球网络强国的地位,而网络犯罪则不断发展,例如中国针对国际非政府组织的 Evasive Panda 攻击。
将焦点转向最近的冲突,哈马斯和以色列之间的网络对抗涉及相互的 DDoS 攻击。一些分析师将哈马斯与伊朗的威胁活动联系起来。与伊朗有关的 APT Agrius 也被称为“Agonizing Serpens”,以其破坏性的擦除器而臭名昭著,主要针对各个行业和国家的以色列组织。2023 年,Agrius 的努力集中在以色列的教育和技术部门。
攻击的影响
网络攻击造成的数字影响(例如系统损坏、数据损坏和入侵)超过了财务和社会影响。 Splunk 的调查 强调清理工作耗费了大量的时间和资源,但只有 4% 的受访者表示没有造成严重后果。
2023 年相关攻击摘要
这一年发生了许多典型攻击,包括 PyTorch 夜间 InfoStealer、CircleCI 事件、3CX 多步骤攻击、MOVEit Transfer 数据泄露、PyPI 临时中止、NPM Manifest Confusion、JumpCloud 攻击和 VMConnect 活动。每起事件都凸显了 SSC 攻击的多样性和不断演变性。
的演变 Standard和法规
共享服务中心的监管框架正在建设中。由于各地区的力度差异很大,似乎美国的框架最为成熟,而欧盟则落后。 国家网络安全战略 和 开源软件安全路线图 是美国的主要事件。在欧盟,《网络弹性法案》达成了政治协议,但大多数组织都在致力于 NIS2 指令和《数字运营弹性法案》(DORA)。
也许全球最重要的事件是联合指南 改变网络安全风险的平衡:安全设计软件的原则和方法 由...领着 CIS并得到了全球许多网络安全机构的加入。
展望 2024 年
报告给出了一些预测:到 2025 年,全球 45% 的组织将至少遭受一次 SSC 攻击。我们将看到有组织犯罪集团利用更成熟的网络犯罪即服务产品从事网络犯罪。今年生效的法规将提高安全事件的透明度,披露更多攻击细节和经验教训。网络风险保险将显示限制和过度。技术进步将与 安全设计 趋势,软件制造商的负担越来越重。
2023 年,人工智能浪潮吸引了许多安全供应商为其产品添加一些“人工智能元素”。尽管如此,人工智能仍将在网络安全的未来发挥关键作用。 software supply chain security人工智能将在威胁情报和风险评估、代码存储库中的异常检测、漏洞评估和优先级排序等领域发挥越来越重要的作用, 钓鱼 攻击 发现,但主要在智能修复和代码审查自动化方面。
但坏人开始将人工智能武器化,我们将看到新技术,如人工智能侦察、极具说服力的长矛 钓鱼、越狱 AI 工具或 CAPTCHA 解答服务。
结语
正当 Xygeni 准备公布其关于 software supply chain security 2023 年,软件行业面临的挑战和威胁显而易见。软件供应链曾经被认为是幕后流程,如今已成为网络攻击者的主要目标。行业对这些挑战的回应将决定未来几年软件安全的发展轨迹。敬请关注完整报告,我们将深入探讨细节并提供见解,帮助您应对软件行业的复杂形势。 software supply chain security.
