Onderzoek: Software supply chains zijn kwetsbaar volgens 82% CIO’s

Venafi, gespecialiseerd in het beschermen van machine-identiteiten, heeft de resultaten bekendgemaakt van een wereldwijd onderzoek onder 1.000 CIO’s. Daaruit blijkt dat maar liefst 82% van de respondenten zegt dat hun organisaties kwetsbaar zijn voor cyberaanvallen die gericht zijn op software supply chains. De transitie naar cloud native ontwikkelingen en de toegenomen snelheid van software-ontwikkelingen door de invoering van DevOps-processen, heeft de uitdagingen gerelateerd aan het beschermen van de software supply chains aanzienlijk complexer gemaakt. Ondertussen zijn kwaadwillenden, gemotiveerd door de succesvolle aanvallen op bedrijven als SolarWinds en Kaseya, hun aanvallen op software supply chains aan het opvoeren.

Groei aantal en complexiteit aanvallen

De groei van het aantal en de complexiteit van aanvallen op de software supply chain in de afgelopen twaalf maanden heeft dit risico ook onder de aandacht gebracht van CEO's en leden van de raad van bestuur. CIO's maken zich daarom steeds meer zorgen over de mogelijk ernstige verstoringen van de bedrijfsvoering, omzetderving, informatiediefstal en schade voor klanten, die het gevolg kunnen zijn van succesvolle aanvallen op de software supply chain.

Belangrijkste onderzoeksresultaten

• 87% van de CIO's denkt dat software-engineers en -ontwikkelaars compromissen sluiten over het securitybeleid en -controles om nieuwe producten en diensten sneller op de markt te krijgen.
• 85% van de ondervraagde CIO's heeft van de directie of CEO de opdracht gekregen om de beveiliging van software-ontwikkelingen te verbeteren.
• 84% zegt dat het budget voor de beveiliging van software-ontwikkelingen het afgelopen jaar is toegenomen.

Meer dan 90% van alle softwaretoepassingen maakt gebruik van open source-componenten, terwijl de afhankelijkheden en kwetsbaarheden gerelateerd aan open source-software uiterst complex zijn. CI/CD- en DevOps-processen zijn meestal georganiseerd om ontwikkelaars in staat te stellen snel te werken, maar niet noodzakelijkerwijs zo veilig mogelijk. In het streven naar steeds snellere innovatie beperken de complexiteit van open source en de snelheid van ontwikkelingen de doeltreffendheid van beveiligingscontroles binnen de software supply chain.

CIO's beseffen dat zij hun aanpak moeten veranderen om de risico’s te verkleinen, waardoor

• 68% meer securitycontroles laat uitvoeren
• 57% de beoordelingsprocessen heeft geactualiseerd
• 56% het gebruik van code signing uitbreidt, een belangrijk controlemiddel
• 47% kritischer naar de herkomst van hun open source bibliotheken kijkt

"Digitale transformatie maakt van elk bedrijf een software-ontwikkelaar, waardoor hun omgevingen voor software-ontwikkeling een interessant doelwit worden voor kwaadwillenden", zegt Kevin Bocek, vice president threat intelligence en business development bij Venafi. "Hackers hebben ontdekt dat succesvolle aanvallen op de software supply chain, vooral aanvallen gericht op machine-identiteiten, uiterst efficiënt en winstgevend zijn."

Bocek heeft bij dit soort aanvallen al tientallen manieren gezien om de ontwikkelomgevingen te compromitteren, waaronder aanvallen die gebruikmaken van open source componenten zoals Log4j. "De realiteit is dat ontwikkelaars meer gericht zijn op innovatie en snelheid dan op beveiliging", legt Bocek uit. "Helaas hebben securityteams vaak onvoldoende kennis of middelen om ontwikkelaars te helpen deze problemen op te lossen en worden de CIO's nu pas wakker voor deze risico’s."

"CIO's beseffen dat ze de beveiliging van de software supply chain moeten verbeteren, maar het is ontzettend moeilijk om te bepalen waar de risico's zitten, welke verbeteringen de grootste winst opleveren en hoe deze veranderingen het risico in de loop van de tijd verminderen", vervolgt Bocek. "We kunnen deze uitdaging niet oplossen met bestaande methodieken. In plaats daarvan moeten we anders gaan denken over de identiteit en integriteit van de code die we bouwen en gebruiken. Die moeten we bij elke stap van het ontwikkelingsproces op machinesnelheid beschermen en beveiligen."

Meer informatie om de beveiliging van een software supply chain te beoordelen en aanbevelingen te krijgen over ‘best practices’ is te vinden op: https://jetstack.io/software-supply-chain/

Dit onderzoek is uitgevoerd door Coleman Parkes Research, in opdracht van Venafi, onder 1.000 CIO’s in de regio’s de Verenigde Staten, het Verenigd Koninkrijk, Frankrijk, DACH (Duitsland, Oostenrijk en Zwitserland), de Benelux en Australië/Nieuw Zeeland.