导语:尽管大多数机构承认供应链是一个巨大的网络威胁,但很少有机构准备减轻其风险。
虽然在近期调查中近80%的受访者认为软件供应链攻击有可能成为未来三年内最大的网络威胁之一,但很少有机构准备降低风险。企业每年因修复这些类型的攻击而损失数百万美元。
CrowdStrike的全球SupplyChain对1300名高级IT决策者进行了调查。调查发现,在过去的12个月中,有三分之二的被调查机构遭遇过软件供应链攻击,如下图所示:
更糟糕的是,遭受软件供应链攻击的绝大多数(87%)机构拥有完整的策略,或者在攻击时预先计划了一定程度的响应。而事实证明这是无效的:平均来说,几乎所有接受调查国家的受访者都需要近63个小时来检测和修复攻击:
影响很大:90%的受访者确认他们因经历软件供应链攻击而导致财产损失。攻击的平均成本超过110万美元。此外,公司还遭遇到了一系列其他损害赔偿:
CrowdStrike产品营销副总裁Dan Larson说,
很明显,供应链攻击正在成为一个关键业务问题,影响与合作伙伴和供应商的离切关系,但机构在很大程度上缺乏保护的知识、工具和技术。而知识差距和缺乏既定标准以防止复杂的供应链攻击正在使机构面临财务,声誉和运营方面的风险。
与此同时,71%的受访者认为他们的机构并没有严格要求外部供应商遵守相同的安全标准。只有37%美国,英国和新加坡的受访者表示,他们的机构在过去12个月内审核了所有新的或现有的供应商。
好消息是,继去年的NotPetya attack和with the GDPR in effect之后,机构更加关注审查其供应商和合作伙伴的进展情况,58%的受访者表示他们在评估安全合作伙伴时会更严格。近90%的受访者认为,在围绕新供应商做出购买决策时,安全性是一个关键因素:
然而,只有四分之一的人确信他们的机构将在未来增加其供应链的弹性。
虽然供应链威胁可能发生在经济生活的每个部门,但主要遭受这些攻击的行业是生物技术、制药、酒店、娱乐、媒体以及IT服务。
总体而言,供应链攻击是决策者的头等大事,而且令人担忧的是: