A maioria dos CIOs diz que suas cadeias de suprimentos de software são vulneráveis, os executivos exigem ação

A de código pode ser a resposta para limitar os ataques da cadeia de suprimentos de software?

Embora as cadeias de suprimentos não estejam tão emaranhadas quanto durante o coração da pandemia do COVID-19, ainda existem alguns grandes problemas de segurança em mãos. Uma nova pesquisa com 1.000 CIOs realizada pela Venafi mostra que mais de 80% disseram que suas organizações são vulneráveis ​​a ataques cibernéticos direcionados às cadeias de suprimentos de software. Essas lacunas de segurança cibernética continuam sendo uma grande preocupação para muitas empresas, já que a taxa de ataques à cadeia de suprimentos aumentou 51% somente no ano ado.

“A transformação digital tornou cada empresa um desenvolvedor de software. E, como resultado, os ambientes de desenvolvimento de software tornaram-se grandes alvos para os invasores”, disse Kevin Bocek, vice-presidente de inteligência de ameaças e desenvolvimento de negócios da Venafi. “Os hackers descobriram que ataques bem-sucedidos à cadeia de suprimentos são extremamente eficientes e mais lucrativos.”

Além disso, 85% dos CIOs foram especificamente instruídos pelo conselho ou CEO a tomar medidas para melhorar a segurança dos ambientes de desenvolvimento e construção de software. Mas a questão permanece, como isso pode ser feito?

As organizações estão fazendo o suficiente para impedir ataques cibernéticos?

Esse salto nos ataques cibernéticos da cadeia de suprimentos de software em relação ao ano anterior colocou em foco que as empresas precisam agir imediatamente ou se tornar mais uma na longa lista de vítimas. Para combater essas possíveis lacunas na segurança, 84% dos entrevistados disseram que sua organização dedicou uma parte maior do orçamento para proteger suas cadeias de suprimentos no ano ado.

Especificamente, os CIOs disseram que suas abordagens mudaram por meio da implementação de mais controles de segurança (68%), uso adicional de de código (56%) e observando a proveniência de suas bibliotecas de código aberto (47%). No entanto, alguns CIOs e empresas estão menos inclinados a mudar suas práticas de segurança, pois os controles para isso exigiriam uma mudança fundamental na estrutura para proteger melhor os pipelines de criação de software.

“Os CIOs percebem que precisam melhorar a segurança da cadeia de suprimentos de software, mas é extremamente difícil determinar exatamente onde estão os riscos, quais melhorias proporcionam o maior aumento na segurança e como essas mudanças reduzem o risco ao longo do tempo”, disse Bocek. “Não podemos resolver esse problema usando as metodologias existentes. Em vez disso, precisamos pensar de forma diferente sobre a identidade e a integridade do código que estamos construindo e usando – e precisamos protegê-lo e protegê-lo em todas as etapas do processo de desenvolvimento na velocidade da máquina.”

VEJO: Política de segurança de dispositivos móveis (TechRepublic )

A de código pode ser a resposta para interromper os ataques da cadeia de suprimentos

Para isso, 62% dos CIOs dizem que suas equipes de InfoSec são responsáveis ​​por lidar com orçamentos dedicados à segurança do desenvolvimento de software e ambientes de construção, mas isso não é suficiente, diz Venafi. De acordo com as descobertas da empresa, as equipes da InfoSec não possuem a profundidade de conhecimento necessária para lidar com as complexidades dos pipelines de construção de software. Embora as partes mal-intencionadas tenham começado a se infiltrar em pipelines de CI/CD mal protegidos, é hora de as organizações empregarem a de código para proteger essas cadeias de suprimentos.

Ao empregar a de código para os sistemas vulneráveis ​​disponíveis, as empresas podem detectar malware não assinado antes que ele cause estragos em sua cadeia de suprimentos e, por extensão, em sua base de clientes. Dos que responderam, 71% dos CIOs afirmam que seu orçamento em relação à de código está aumentando e 56% disseram que seus negócios fizeram esforços para usar mais de código para compensar o risco de ataques cibernéticos adicionais.

De acordo com Verafi, as empresas devem empregar mais processos de de código, mesmo que as dores do crescimento possam ser sentidas no curto prazo, enquanto reestruturam a postura de segurança cibernética de uma organização.