Door: Redactie - 3 juni 2022 |
Venafi, gespecialiseerd in het beschermen van machine-identiteiten, heeft de resultaten bekendgemaakt van een wereldwijd onderzoek onder 1.000 CIO’s. Daaruit blijkt dat maar liefst 82% van de respondenten zegt dat hun organisaties kwetsbaar zijn voor cyberaanvallen die gericht zijn op software supply chains. De transitie naar cloud native ontwikkelingen en de toegenomen snelheid van software-ontwikkelingen door de invoering van DevOps-processen, heeft de uitdagingen gerelateerd aan het beschermen van de software supply chains aanzienlijk complexer gemaakt. Ondertussen zijn kwaadwillenden, gemotiveerd door de succesvolle aanvallen op bedrijven als SolarWinds en Kaseya, hun aanvallen op software supply chains aan het opvoeren.
De groei van het aantal en de complexiteit van aanvallen op de software supply chains in de afgelopen twaalf maanden heeft dit risico ook onder de aandacht gebracht van CEO’s en leden van de raad van bestuur. CIO’s maken zich daarom steeds meer zorgen over de mogelijk ernstige verstoringen van de bedrijfsvoering, omzetderving, informatiediefstal en schade voor klanten, die het gevolg kunnen zijn van succesvolle aanvallen op de software supply chain.
Meer dan 90% van alle softwaretoepassingen maakt gebruik van open source-componenten, terwijl de afhankelijkheden en kwetsbaarheden gerelateerd aan open source-software uiterst complex zijn. CI/CD- en DevOps-processen zijn meestal georganiseerd om ontwikkelaars in staat te stellen snel te werken, maar niet noodzakelijkerwijs zo veilig mogelijk. In het streven naar steeds snellere innovatie beperken de complexiteit van open source en de snelheid van ontwikkelingen de doeltreffendheid van beveiligingscontroles binnen de software supply chain.
CIO’s beseffen dat zij hun aanpak moeten veranderen om de risico’s te verkleinen, waardoor:
“Digitale transformatie maakt van elk bedrijf een software-ontwikkelaar, waardoor hun omgevingen voor software-ontwikkeling een interessant doelwit worden voor kwaadwillenden”, zegt Kevin Bocek, vice president threat intelligence en business development bij Venafi. “Hackers hebben ontdekt dat succesvolle aanvallen op de software supply chain, vooral aanvallen gericht op machine-identiteiten, uiterst efficiënt en winstgevend zijn.”
Bocek heeft bij dit soort aanvallen al tientallen manieren gezien om de ontwikkelomgevingen te compromitteren, waaronder aanvallen die gebruikmaken van open source componenten zoals Log4j. “De realiteit is dat ontwikkelaars meer gericht zijn op innovatie en snelheid dan op beveiliging”, legt Bocek uit. “Helaas hebben securityteams vaak onvoldoende kennis of middelen om ontwikkelaars te helpen deze problemen op te lossen en worden de CIO’s nu pas wakker voor deze risico’s.”
“CIO’s beseffen dat ze de beveiliging van de software supply chain moeten verbeteren, maar het is ontzettend moeilijk om te bepalen waar de risico’s zitten, welke verbeteringen de grootste winst opleveren en hoe deze veranderingen het risico in de loop van de tijd verminderen”, vervolgt Bocek. “We kunnen deze uitdaging niet oplossen met bestaande methodieken. In plaats daarvan moeten we anders gaan denken over de identiteit en integriteit van de code die we bouwen en gebruiken. Die moeten we bij elke stap van het ontwikkelingsproces op machinesnelheid beschermen en beveiligen.”
Dit onderzoek is uitgevoerd door Coleman Parkes Research, in opdracht van Venafi, onder 1.000 CIO’s in de regio’s de Verenigde Staten, het Verenigd Koninkrijk, Frankrijk, DACH (Duitsland, Oostenrijk en Zwitserland), de Benelux en Australië/Nieuw Zeeland
Lees ook:
Dit artikel delen op je eigen website? Geen probleem, dat mag. Meer informatie.