黑莓发现80%的组织经历过供应链攻击或漏洞

根据黑莓的最新研究，在过去的12个月里，80%的公司都收到了软件供应链漏洞或攻击的通知。

这项对北美、英国和澳大利亚1500名IT决策者和网络安全领导者的调查显示了供应链攻击对企业的重大影响。在收到此类攻击通知的企业中，超过一半的企业经历了运营中断(58%)、数据丢失(58%)、知识产权丢失(55%)和声誉损失(52%)。几乎一半(49%)遭受了经济损失。

此外，超过三分之一的公司需要长达一个月的时间才能从软件供应链中的漏洞中恢复过来，53%的公司在一周内就恢复过来。十分之一的人需要长达三个月的时间才能恢复。

黑莓产品安全副总裁Christine Gadbsy表示，盲点是在软件供应链缺乏可见性的情况下产生的，这导致了上述涉及停机时间、财务和声誉损失的经历。公司如何监控和管理软件供应链中的网络安全，不仅仅取决于信任。

相当大比例的组织表示，它们已对其供应商实施了一些建议的安全措施。最突出的是数据加密(63%)、身份访问管理(56%)和安全特权访问框架(50%)。

近三分之二的受访者表示，他们的组织要求供应商提供标准操作程序，以证明他们的供应链安全水平。其次是协议(51%)、第三方审计报告(46%)和服务水平协议(40%)。

至于根据安全控制框架对供应商进行审计的频率，16%的人表示只在入职初期进行一次，11%每两年进行一次，29%每年进行一次，44%每季度进行一次。

令人鼓舞的是，绝大多数的受访者(97%)对他们的供应商和合作伙伴能够识别和防止利用其环境中的漏洞非常有信心或有一定的信心。然而，超过四分之三的人承认，他们已经意识到他们之前不知道的供应链成员的安全措施，并对其进行了监控。

黑莓公司负责东欧、中东和非洲的副总裁Keiron Holyome在接受《信息安全》采访时谈到了报告中，英国方面的情况，强调了组织在实践中似乎缺乏对其软件供应链的可见性。

他表示：“我最惊讶的是，英国机构目前监控和管理的细节缺乏细粒。尽管大多数英国IT决策者相信，他们的软件供应链合作伙伴的政策至少与他们的政策有相当的力度，但正是由于缺乏细致的细节，才暴露了网络犯罪分子可利用的漏洞。”

在发生第三方入侵的情况下，绝大多数受访者认为通信速度是最重要的，他们更倾向于使用统一的事件管理系统来联系内部安全利益相关方和外部合作伙伴。然而，只有不到五分之一的国家拥有这种通信系统。

受访的网络安全专业人士认为，开源软件生产商是他们对网络安全最不信心的供应链环节。其次是金融/电子支付解决方案提供商和第三方软件提供商。