0
0
A Venafi anunciou as descobertas de um estudo global de 1.000 CIOs, no qual 82% dizem que suas organizações são vulneráveis a ataques cibernéticos direcionados a cadeias de suprimentos de software.
A mudança para o desenvolvimento nativo da nuvem, juntamente com o aumento da velocidade de desenvolvimento provocado pela adoção de processos DevOps, tornou os desafios associados à proteção das cadeias de suprimentos de software infinitamente mais complexos. Enquanto isso, os adversários, motivados pelo sucesso de ataques de alto perfil na cadeia de suprimentos de software a empresas como SolarWinds e Kaseya, estão intensificando os ataques contra ambientes de construção e distribuição de software.
O aumento acentuado no número e sofisticação desses ataques nos últimos 12 meses colocou essa questão em foco, chamando a atenção de CEOs e Conselhos. Como resultado, os CIOs estão se tornando cada vez mais preocupados com as graves interrupções nos negócios, perda de receita, roubo de dados e danos ao cliente que podem resultar de ataques cibernéticos bem-sucedidos às cadeias de suprimentos de software.
Principais descobertas
- 87% dos CIOs acreditam que engenheiros e desenvolvedores de software se comprometem com políticas e controles de segurança para colocar novos produtos e serviços no mercado mais rapidamente.
- 85% dos CIOs foram especificamente instruídos pelo conselho ou CEO a melhorar a segurança dos ambientes de construção e distribuição de software.
- 84% dizem que o orçamento dedicado à segurança de ambientes de desenvolvimento de software aumentou no ano passado.
“A transformação digital fez de cada empresa um desenvolvedor de software. E, como resultado, os ambientes de desenvolvimento de software se tornaram um enorme alvo para os atacantes”, disse Kevin Bocek, vice-presidente de inteligência contra ameaças e desenvolvimento de negócios da Venafi. “Os hackers descobriram que ataques bem-sucedidos à cadeia de suprimentos, especialmente aqueles que visam identidades de máquinas, são extremamente eficientes e mais lucrativos.”
Bocek viu literalmente dezenas de maneiras de comprometer ambientes de desenvolvimento nesses tipos de ataques, incluindo ataques que aproveitam componentes de software de código aberto como o Log4j. “A realidade é que os desenvolvedores estão focados em inovação e velocidade em vez de segurança”, explicou Bocek. “Infelizmente, as equipes de segurança raramente têm o conhecimento ou os recursos para ajudar os desenvolvedores a resolver esses problemas e os CIOs estão apenas acordando para esses desafios.”
Mais de 90% dos aplicativos de software usam componentes de código aberto, e as dependências e vulnerabilidades associadas ao software de código aberto são extremamente complexas. Os pipelines CI/CD e DevOps geralmente são estruturados para permitir que os desenvolvedores se movam rapidamente, mas não necessariamente com mais segurança. No esforço para inovar mais rápido, a complexidade do código aberto e a velocidade de desenvolvimento limitam a eficácia dos controles de segurança da cadeia de suprimentos de software.
Os CIOs percebem que precisam melhorar a segurança da cadeia de suprimentos de software
Os CIOs percebem que precisam mudar sua abordagem para superar esses desafios. Como resultado:
- 68% estão implementando mais controles de segurança
- 57% estão atualizando seus processos de revisão
- 56% estão expandindo o uso da assinatura de código, um controle de segurança fundamental para cadeias de suprimentos de software
- 47% estão olhando para a proveniência de suas bibliotecas de código aberto
“Os CIOs percebem que precisam melhorar a segurança da cadeia de suprimentos de software, mas é extremamente difícil determinar exatamente onde estão os riscos, quais melhorias proporcionam o maior aumento na segurança e como essas mudanças reduzem o risco ao longo do tempo”, continuou Bocek.
“Não podemos resolver esse problema usando as metodologias existentes. Em vez disso, precisamos pensar de forma diferente sobre a identidade e a integridade do código que estamos construindo e usando – e precisamos protegê-lo e protegê-lo em todas as etapas do processo de desenvolvimento na velocidade da máquina.”
FONTE: HELPNET SECURITY