0
0
Pesquisa global encomendada pela ReversingLabs e conduzida pela Dimensional Research, revelou que as equipes de desenvolvimento de software estão cada vez mais preocupadas com ataques e adulterações na cadeia de suprimentos, mas apenas um terço disse que podem verificar efetivamente a segurança do código desenvolvido e publicado para adulteração.
A Dimensional Research entrevistou mais de 300 profissionais globais de TI e segurança. Os entrevistados incluíram executivos, profissionais de tecnologia e segurança em empresas de software grandes e pequenas, representando todos os níveis de antiguidade e com responsabilidades digitais de produtos ou liderança.
Apesar de estarem cientes dos perigos da publicação de software vulnerável, descobriu a pesquisa, as empresas continuam a se colocar em risco de ataques à cadeia de suprimentos de software.
Principais descobertas
- As empresas estão rolando os dados com lançamentos de software. Entre os entrevistados da pesquisa, 54% disseram que sua empresa lança conscientemente software com possíveis riscos de segurança.
- O código de terceiros aumenta o risco da cadeia de suprimentos. 98% dos entrevistados relataram que o uso de software de terceiros, incluindo software de código aberto, aumenta os riscos de segurança. No entanto, 51% relatam ser capazes de proteger seu software contra ataques da cadeia de suprimentos.
- A adulteração de software é real, mas é invisível: 87% dos profissionais de segurança e tecnologia concordam que a adulteração de software é um novo vetor com oportunidades de violação para maus atores, mas apenas 37% indicam que têm uma maneira de detectá-la em toda a cadeia de suprimentos.
- Daqueles que podem detectar adulteração de software, apenas 7% fazem isso em cada fase do ciclo de vida de desenvolvimento de software, e apenas 1 em cada 3 verifica se há adulteração uma vez que um aplicativo é final e implantado.
“Os executivos estão bem cientes dos riscos da cadeia de suprimentos de software”, disse Mario Vuksan, CEO da ReversingLabs. “Isso não é surpreendente, dada a visibilidade de ataques de alto perfil e a diretiva da administração dos EUA de estabelecer padrões de segurança de base para software vendido ao governo. Podemos ter certeza de que as organizações reconhecem que os riscos de software vão além de vulnerabilidades e malware, e que as ameaças de adulteração representam um crescente vetor de ataque que as abre para novos riscos. Infelizmente, a maioria ainda está atrasada em sua capacidade de lidar com a adulteração.”
A pesquisa também revelou que os executivos estão abertos a adotar ferramentas como listas de materiais de software (SBoMs) para ajudá-los a gerenciar a complexa tarefa de monitorar e detectar compromissos e riscos da cadeia de suprimentos. 77% dos entrevistados disseram que apreciam o valor de um SBoM como forma de testar a adulteração. No entanto, a maioria das empresas não consegue gerar e revisar SBoMs. Os entrevistados disseram que a complexidade e a prevalência de processos manuais tediosos para a criação de SBoMs eram obstáculos. Assim como a falta de melhores práticas, processos e ferramentas, combinada com a falta de experiência.
Outras descobertas
- Apenas 27% das empresas atualmente geram e revisam SBoMs, e 90% indicaram dificuldade crescente para criar e revisar SBoMs.
- Quase metade dos entrevistados relatou que os processos de geração e revisão do SBoM envolvem etapas manuais.
- A falta de experiência (44 por cento) e a equipe inadequada para revisar e analisar SBoMs (44 por cento) foram as principais razões por trás da incapacidade das empresas de gerar e revisar um SBoM.
“Os entrevistados reconhecem que ferramentas e automação são necessárias para a detecção de adulteração em todas as fases do processo de desenvolvimento de software. Ainda assim, eles lutam para avançar na prática”, observou Vuksan.
“À medida que novas soluções se tornam disponíveis que fornecem informações sobre o código desenvolvido e que podem detectar adulteração antes da distribuição pública, as organizações podem tomar medidas para gerenciar adequadamente o risco de sua cadeia de suprimentos de software e garantir que seu código não seja vítima de adulteração por atores cibernéticos sofisticados.”
De acordo com o relatório Gartner de 2022 intitulado Innovation Insight for SBOMs, “os ataques de segurança da cadeia de suprimentos de software expuseram os riscos associados a ferramentas e plataformas adquiridas comercialmente porque você não sabe o que está “dentro da caixa”.
A pesquisa da Gartner continua dizendo que “embora os componentes reutilizáveis e o software de código aberto tenham simplificado o desenvolvimento de software, essa simplicidade expôs uma lacuna crítica de visibilidade: as organizações são incapazes de registrar e resumir com precisão o enorme volume de software que produzem, consomem e operam. Sem essa visibilidade, as cadeias de suprimentos de software são vulneráveis aos riscos de segurança e licenciamento de conformidade associados aos componentes de software.”
FONTE: HELPNET SECURITY