0
0
As organizações estão despertando para a necessidade de estabelecer melhores políticas de gerenciamento de risco da cadeia de suprimentos de software e estão tomando medidas para lidar com as crescentes ameaças e vulnerabilidades direcionadas a essa superfície de ataque em expansão.
Essas foram algumas das descobertas de uma pesquisa realizada pela CyberRisk Alliance, patrocinada pela Coalfire, com 300 entrevistados de empresas de compra e produção de software.
A maioria dos entrevistados (52%) disse estar “muito” ou “extremamente” preocupado com os riscos da cadeia de fornecimento de software, e 84% dos entrevistados disseram que sua organização provavelmente alocará pelo menos 5% de seus orçamentos de AppSec para gerenciar o risco da cadeia de fornecimento de software .
Os compradores de software estão planejando investir em métricas e relatórios de programas de compras, testes de caneta de aplicativos e design e implementação de materiais de construção de software (SBOM), de acordo com as descobertas, divulgadas na terça-feira.
Enquanto isso, os desenvolvedores de software disseram que planejam investir na revisão segura de código, bem como no design e implementação do SBOM.
A pesquisa também descobriu que 59% dos clientes de empresas de desenvolvimento de software sofreram atrasos de compra de até três meses devido a preocupações com a proveniência do código.
Como explica o vice-presidente da Coalfire, Dan Cornell, essa estatística reflete uma convergência entre o risco de segurança cibernética e o risco de negócios mais generalizado, indicando que as organizações percebem os riscos da cadeia de suprimentos de software como significativos o suficiente para desacelerar as compras até que esses riscos possam ser abordados.
“Mas em nosso ambiente de negócios moderno, os atrasos adicionam riscos aos negócios porque adiam a entrega de valor às partes interessadas e abrem oportunidades para os concorrentes serem os primeiros no mercado”, acrescenta. “Assim, as organizações precisam analisar como estão lidando com o risco da cadeia de suprimentos.”
Ele diz que se eles puderem lidar com esse risco suficientemente, mas o fizerem mais rápido que seus concorrentes, isso significa que eles podem ser mais rápidos no mercado e mais rápidos para começar a entregar valor aos seus stakeholders.
“Se não puderem, o risco de segurança cibernética das cadeias de suprimentos de software aumentará o risco comercial de se atrasar para aproveitar as oportunidades”, diz ele.
C-Suite toma conhecimento da segurança da cadeia de fornecimento de software
Cornell diz que algumas das descobertas mais significativas para o progresso futuro foram sobre quem nas organizações que responderam estava preocupado com os problemas da cadeia de suprimentos de software.
Para os compradores de software, 51% da gerência sênior (nível C) levantou preocupações sobre a cadeia de suprimentos de software – isso ficou atrás apenas dos membros da equipe de segurança que levantaram as preocupações (em 60%).
“Eu esperava que as equipes de segurança levantassem essas questões, mas achei particularmente interessante que esses executivos de nível sênior também estivessem preocupados com esse problema”, observa Cornell. “Isso é fantástico e um precursor necessário para fazer progressos significativos nessa questão. Obviamente, as equipes de segurança se preocupam com isso, mas não definem a política e a direção corporativa – os executivos seniores sim.”
Ele diz que, à medida que os executivos seniores forem incorporados, eles começarão a refletir essa prioridade nas alocações orçamentárias.
“Então – e só então – a bola começará a rolar para resolver os problemas da cadeia de suprimentos de software de maneira estruturada e programática”, diz ele.
Do lado dos fornecedores de software, Cornell aponta que 71% dos entrevistados disseram que os departamentos de DevOps estão conduzindo a tomada de decisões da cadeia de suprimentos de software, ainda mais do que as equipes de segurança (em 63%).
“Isso é realmente encorajador – considero fundamental que essas iniciativas sejam conduzidas por equipes de segurança externas”, explica ele. “As equipes de segurança precisam ser conselheiras sobre riscos, mas as equipes de DevOps são as que selecionam os componentes de código aberto que usam em seus projetos e tomam as decisões sobre o que atualizar e quando”.
Ele acrescenta que vê-los levar essa questão a sério – e, sem dúvida, a mais séria com base nas respostas – lhe dá esperança de que essas questões comecem a ser abordadas.
Equipes de DevOps criam centro de gerenciamento de risco
Do ponto de vista de Cornell, o DevOps – ou esperançosamente, os grupos de DevSecOps – deve realmente liderar o gerenciamento do risco da cadeia de suprimentos de software.
“Eles são os donos do processo de desenvolvimento de software e veem o código que está escrito”, diz ele. “Eles veem os componentes que são inseridos. Eles observam o software ser construído. E o disponibilizam para quem for o próximo na linha.”
Dado esse ponto de vista, eles podem ajudar a impactar – de maneira positiva – o status de segurança da cadeia de suprimentos de software de uma organização, implementando boas políticas e práticas sobre qual código-fonte aberto está incluído em seu software e quando esses componentes de código-fonte aberto são atualizados.
“Equipes DevSecOps voltadas para o futuro podem tirar proveito de sua automação e testes para começar a impulsionar ciclos de vida de atualização de componentes mais agressivos e outras abordagens que ajudam a minimizar a dívida técnica”, explica ele.
Ele diz que eles também estão em posição e possuem as ferramentas para ajudar a gerar SBOMs que eles podem fornecer aos consumidores de software que, por sua vez, procuram gerenciar seus riscos na cadeia de suprimentos.
“Uma organização não precisa adotar uma abordagem DevSecOps para o desenvolvimento de software para lidar com os riscos de segurança da cadeia de suprimentos de software”, diz Cornell.
Construindo Estruturas para Avaliação de Riscos
Em maio, a MITRE apresentou uma estrutura de protótipo para tecnologia da informação e comunicação (TIC) que define e quantifica riscos e preocupações de segurança sobre a cadeia de suprimentos, incluindo software.
Nesse mesmo mês, o Instituto Nacional de Padrões e Tecnologia (NIST) atualizou suas diretrizes de segurança cibernética para lidar com o risco da cadeia de suprimentos de software, oferecendo conjuntos personalizados de controles de segurança sugeridos para várias partes interessadas.
Enquanto isso, um número crescente de agentes de ameaças olha para as empresas da cadeia de suprimentos como um ponto de entrada nas redes corporativas, incluindo o infame Lazarus Group da Coreia do Norte .
FONTE: DARK READING