Onderzoek: Software supply chains zijn kwetsbaar volgens 82% CIO’s

CEO’s en bestuursleden eisen verbeteringen in de beveiliging van de software supply chain

1 juni 2022Venafi, gespecialiseerd in het beschermen van machine-identiteiten, heeft de resultaten bekendgemaakt van een wereldwijd onderzoek onder 1.000 CIO’s. Daaruit blijkt dat maar liefst 82% van de respondenten zegt dat hun organisaties kwetsbaar zijn voor cyberaanvallen die gericht zijn op software supply chains. De transitie naar cloud native ontwikkelingen en de toegenomen snelheid van software-ontwikkelingen door de invoering van DevOps-processen, heeft de uitdagingen gerelateerd aan het beschermen van de software supply chains aanzienlijk complexer gemaakt. Ondertussen zijn kwaadwillenden, gemotiveerd door de succesvolle aanvallen op bedrijven als SolarWinds en Kaseya, hun aanvallen op software supply chains aan het opvoeren.

Groei aantal en complexiteit aanvallen

De groei van het aantal en de complexiteit van aanvallen op de software supply chain in de afgelopen twaalf maanden heeft dit risico ook onder de aandacht gebracht van CEO’s en leden van de raad van bestuur. CIO’s maken zich daarom steeds meer zorgen over de mogelijk ernstige verstoringen van de bedrijfsvoering, omzetderving, informatiediefstal en schade voor klanten, die het gevolg kunnen zijn van succesvolle aanvallen op de software supply chain.

Belangrijkste onderzoeksresultaten

  • 87% van de CIO’s denkt dat software-engineers en -ontwikkelaars compromissen sluiten over het securitybeleid en -controles om nieuwe producten en diensten sneller op de markt te krijgen.
  • 85% van de ondervraagde CIO’s heeft van de directie of CEO de opdracht gekregen om de beveiliging van software-ontwikkelingen te verbeteren.
  • 84% zegt dat het budget voor de beveiliging van software-ontwikkelingen het afgelopen jaar is toegenomen.

Meer dan 90% van alle softwaretoepassingen maakt gebruik van open source-componenten, terwijl de afhankelijkheden en kwetsbaarheden gerelateerd aan open source-software uiterst complex zijn. CI/CD- en DevOps-processen zijn meestal georganiseerd om ontwikkelaars in staat te stellen snel te werken, maar niet noodzakelijkerwijs zo veilig mogelijk. In het streven naar steeds snellere innovatie beperken de complexiteit van open source en de snelheid van ontwikkelingen de doeltreffendheid van beveiligingscontroles binnen de software supply chain.

CIO’s beseffen dat zij hun aanpak moeten veranderen om de risico’s te verkleinen, waardoor

  • 68% meer securitycontroles laat uitvoeren
  • 57% de beoordelingsprocessen heeft geactualiseerd
  • 56% het gebruik van code signing uitbreidt, een belangrijk controlemiddel
  • 47% kritischer naar de herkomst van hun open source bibliotheken kijkt

“Digitale transformatie maakt van elk bedrijf een software-ontwikkelaar, waardoor hun omgevingen voor software-ontwikkeling een interessant doelwit worden voor kwaadwillenden”, zegt Kevin Bocek, vice president threat intelligence en business development bij Venafi. “Hackers hebben ontdekt dat succesvolle aanvallen op de software supply chain, vooral aanvallen gericht op machine-identiteiten, uiterst efficiënt en winstgevend zijn.”

Bocek heeft bij dit soort aanvallen al tientallen manieren gezien om de ontwikkelomgevingen te compromitteren, waaronder aanvallen die gebruikmaken van open source componenten zoals Log4j. “De realiteit is dat ontwikkelaars meer gericht zijn op innovatie en snelheid dan op beveiliging”, legt Bocek uit. “Helaas hebben securityteams vaak onvoldoende kennis of middelen om ontwikkelaars te helpen deze problemen op te lossen en worden de CIO’s nu pas wakker voor deze risico’s.”

“CIO’s beseffen dat ze de beveiliging van de software supply chain moeten verbeteren, maar het is ontzettend moeilijk om te bepalen waar de risico’s zitten, welke verbeteringen de grootste winst opleveren en hoe deze veranderingen het risico in de loop van de tijd verminderen”, vervolgt Bocek. “We kunnen deze uitdaging niet oplossen met bestaande methodieken. In plaats daarvan moeten we anders gaan denken over de identiteit en integriteit van de code die we bouwen en gebruiken. Die moeten we bij elke stap van het ontwikkelingsproces op machinesnelheid beschermen en beveiligen.”

Meer informatie om de beveiliging van een software supply chain te beoordelen en aanbevelingen te krijgen over ‘best practices’ is te vinden op: https://jetstack.io/software-supply-chain/

Andere informatiebronnen zijn de blog: 82% of CIOs say their software supply chains are vulnerable en het whitepaper: Software Supply Chain Attack Surfaces Expanding

Dit onderzoek is uitgevoerd door Coleman Parkes Research, in opdracht van Venafi, onder 1.000 CIO’s in de regio’s de Verenigde Staten, het Verenigd Koninkrijk, Frankrijk, DACH (Duitsland, Oostenrijk en Zwitserland), de Benelux en Australië/Nieuw Zeeland.

Over Venafi
Venafi is marktleider in het beschermen van de identiteiten van apparatuur en machines en het beveiligen van de communicatie en verbindingen daartussen. Ze beschermen alle typen identiteiten door het orkestreren van cryptografische sleutels en digitale certificaten voor SSL/TLS, SSH, code signing, mobiel en IoT. Venafi maakt zowel identiteiten als daaraan gerelateerde risico’s wereldwijd inzichtelijk, binnen het eigen bedrijfsnetwerk en alle mobiele, virtuele, cloud- en IoT-apparatuur. Gebaseerd op intelligentie en een geautomatiseerde aanpak van risico’s op het gebied van beveiliging en beschikbaarheid, door zwakke of gecompromitteerde apparatuur. Tevens wordt de communicatie tussen betrouwbare apparatuur effectief beschermd en met onbetrouwbare apparatuur voorkomen.

Met ruim 30 patenten levert Venafi innovatieve oplossingen voor ’s werelds meest veeleisende, veiligheidsbewuste Global 5000 organisaties. Tot hun klantenkring behoren de top vijf ziektekostenverzekeraars in de Verenigde Staten, de top vijf luchtvaartmaatschappijen in de VS, de vier grootste creditcardbedrijven, drie van de vier grootste accountancybedrijven, vier van de top vijf retailers in de VS en de grootste banken in de Verenigde Staten, het Verenigd Koninkrijk, Australië en Zuid-Afrika. Lees meer informatie op: http://venafi.com.

Stuur een reactie