根據雲端及人工智慧驅動託管安全服務供應商 LevelBlue 的數據加速器(Data Accelerator)調查報告,僅有 23% 的企業組織確信他們對自身軟體供應鏈具有高可視性,而這種有限的可視性嚴重影響了組織的資安韌性。
軟體供應鏈可視性不足成企業資安罩門
《資料加速器》報告深入分析《2025 LevelBlue 未來趨勢報告》,比較風險承受度、投資缺口和整體準備程度,以協助組織保護其端對端軟體供應商生態系統。研究顯示,軟體供應鏈安全已成為 2025 年企業的重要關注焦點。
這一趨勢部分源於各地區法規框架的要求,同時也因人工智慧的廣泛採用和複雜第三方生態系統的整合而擴大了攻擊面。研究表明,企業對軟體供應鏈威脅的防護存在明顯弱點,49% 的受訪者表示他們缺乏可視性來完全理解或識別風險。
這種透明度不足導致「可視性非常低」的組織中,高達 80% 在過去 12 個月內遭受資安事件,而「可視性非常高」的組織僅有 6% 遭受事件,形成鮮明對比。此外,80% 的低可視性組織將自訂程式碼、商業現成軟體和 API 整合等關鍵因素視為「非常高風險」或「有一定風險」。
LevelBlue 首席技術傳道者 Theresa Lanowitz 指出,該公司的加速器研究強調組織需立即優先建立透明且安全的軟體供應鏈。在人工智慧影響持續擴大,以及國家級駭客和網路犯罪集團威脅不斷演變的時代,組織抵禦和復原網路攻擊的能力,直接取決於對其軟體生態系統的清晰理解程度。
AI 被視為軟體供應鏈風險的主要來源
調查顯示,68% 的組織表示媒體報導已提高高階主管(C-suite)對資安議題的關注,同時這些組織將第三方風險管理視為最重大的威脅之一。然而,僅 25% 的組織計劃在未來 12 個月內優先與軟體供應商討論安全性認證。
有 40% 的執行長認為軟體供應鏈是組織目前面臨的最大資安風險,相較之下,只有 29% 的資訊長和 27% 的技術長持同樣看法。此外,39% 的執行長指出 AI 技術的採用正為軟體供應鏈帶來更顯著的風險。
亞太區域準備程度明顯不足
儘管全球普遍缺乏軟體供應鏈可視性,各地區面對資安攻擊的準備程度仍有明顯差異。北美地區有 57% 的企業表示已準備好因應可能的軟體供應鏈攻擊,而亞太區域僅有 44%。歐洲和拉丁美洲的企業則分別有 51% 和 50% 認為自己做好了防護準備。
當各地區眾多企業都預期短期內可能面臨軟體供應鏈相關資安威脅時,這種普遍缺乏可視性的狀況尤其令人憂慮。
亞太地區組織保持高度警覺,可能因為自認對攻擊的準備程度最不足。他們將第三方風險管理和不受支援的軟體視為主要威脅,並特別謹慎對待開源元件(如程式碼函式庫和框架)。
相較之下,拉丁美洲組織對軟體供應鏈風險特別憂慮,主因是強烈預期近期可能遭受攻擊。其主要關注焦點為第三方軟體散佈和第三方風險管理問題。北美組織主要擔憂第三方軟體散佈、風險管理和不受支援的軟體。歐洲組織有類似的憂慮,但對內部開發程式碼的風險顧慮較小,這可能是因為在系統間更廣泛地使用經過驗證的可信程式碼。
亞太區域投資明顯落後
儘管企業已認識到軟體供應鏈風險,但其應對措施仍明顯不足。即使組織自認已準備充分,仍需持續投資資安防護機制。
北美地區有 61% 的組織正對軟體供應鏈安全進行中度或大量投資。雖然 57% 表示已準備好應對攻擊,但這種自信可能掩蓋潛在風險。歐洲和拉丁美洲組織採取更積極態度,分別有 67% 和 64% 承諾進行中度或大量投資,儘管僅約半數感到準備充分,顯示他們認同資訊安全是需持續投入的過程。
值得關注的是,亞太地區僅 54% 的組織進行中度或大量投資,同時較少組織感到準備充分,清楚反映了加強應變能力和增加投資的迫切需求。對於亞太區域的企業而言,提升軟體供應鏈可視性與加強投資已成為當務之急。
正在投資強化軟體供應鏈資安的企業組織
本文轉載自 HelpNetSecurity。