Aanvallen op de softwareketen nemen een hoge vlucht - en beveiligingsleiders reageren traag

Meer dan de helft (56%) van de applicaties van de organisatie van de respondenten bevat open source codepakketten. Driekwart van de bevraagden gaf aan zeer bezorgd of bezorgd te zijn over de beveiliging van de softwareketen.

"We hebben de afgelopen twee jaar meer aanvallen op het open source ecosysteem gezien dan ooit tevoren met meer dan 385.000 kwaadaardige pakketten die tot nu toe zijn gedetecteerd door ons eigen Checkmarx beveiligingsonderzoeksteam", zegt Amit Daniel, chief marketing officer bij Checkmarx. "Kwaadaardig' is veel meer dan kwetsbaar", benadrukt hij hierbij.

Prioriteit maar trage vooruitgang

Uit het rapport bleek echter dat, hoewel AppSec-leiders in bedrijven prioriteit geven aan de beveiliging van de softwareketen, de vooruitgang traag is. Bijna zes op de tien respondenten zeiden dat de beveiliging van de softwaretoevoerketen een belangrijk aandachtsgebied was, waarbij 54% van plan was een oplossing te gebruiken of het gebruik ervan te onderzoeken. Acht op de tien gaf aan dat het vinden van een oplossing de hoogste prioriteit had.

Maar terwijl de helft actief vraagt om SBOM's (Software Bill of Materials) van hun leveranciers, zegt minder dan de helft van degenen die deze zoeken te weten hoe ze deze effectief kunnen gebruiken als dat nodig is, en slechts 7% zegt over de juiste beveiligingstools te beschikken.

"De beveiliging van de softwaretoevoerketen is een actief doel geworden van regelgevende en cyberbeveiligingsinstanties van de overheid en staat bovenaan de agenda van meer dan de helft van de wereldwijde ondernemingen die we hebben onderzocht," aldus Daniel.

"Het is cruciaal voor CISO's en beveiligingsleiders om het ontwikkelaars makkelijker te maken de nieuwe risico's te begrijpen en hun hele softwareleveringsketen te beveiligen."

Oplossen kan wel maand duren

Uit recent onderzoek van BlackBerry blijkt dat driekwart van de IT-besluitvormers in het Verenigd Koninkrijk in de afgelopen twaalf maanden te maken heeft gehad met een kwetsbaarheid of aanval op de softwareleveringsketen, waarbij het voor 38% wel een maand duurt voordat het probleem is opgelost.

Het Amerikaanse National Institute of Standards and Technology (NIST) heeft onlangs nieuwe richtlijnen uitgebracht over de risico's van de softwareleveringsketen, waarin wordt geadviseerd endpoint beveiligingssoftware, netwerkbeveiligingscontroles, toegangscontrolebeleid en fysieke beveiligingsmaatregelen te gebruiken.

Check de source!

Ontwikkelaars moeten open source downloaden als broncode in plaats van voorgecompileerde bibliotheken of binaries, en moeten digitale handtekeningen verifiëren, scans op kwetsbaarheden uitvoeren en controleren op recente updates voor nieuw gedownloade broncode, aldus de richtlijn.

Bron: IT Pro. Dit artikel is AI-vertaald.