Bezorgdheid over software supply chain-aanvallen neemt toe
IT-professionals zijn steeds meer bezorgd over supplychain-aanvallen. Dat wijst wereldwijd onderzoek onder meer dan 300 leidinggevenden in de IT-wereld uit. Er zijn, ondanks de grote zorgen, slechts sporadisch pogingen om aanvallen via supply chains voor software in kaart te brengen.
Door recente voorbeelden van aanvallen zoals SolarWinds, SolarStorm en CodeCov is beveilging van softwaretoeleveringsketen bovenaan de prioriteitenlijst van security-professionals terechtgekomen. Omdat veel softwareontwikkelaars onder hoge tijdsdruk werken, moeten applicaties sneller dan ooit worden afgerond. Er wordt daarom veel gebruik gemaakt van open source en software van derden.
Zo ontstaat al snel een ‘keten’ in softwareland, die steeds groter wordt. Het aanvalsoppervlak wordt daardoor steeds groter. Bij een geslaagde hack kunnen ervaren cybercriminelen steeds beter profiteren van één enkele kwetsbaarheid. Softwareontwikkelaars zijn zich bewust van die dreiging en maken zich ook steeds meer zorgen over imago-schade, zo blijkt uit het onderzoek van ReversingLabs.
Moeite met detecteren
Intussen worstelen bedrijven aan het 'einde' van deze softwareketens met het detecteren van de aanvallen. Zo’n 98% van de ondervraagden geeft aan dat gebruik van opensourcecode en gebruik van software van derden risico’s met zich meeneemt. Ook zijn er zorgen over ‘software-manipulatie’. Dit zijn opzettelijke maar niet-geautoriseerde handelingen waarbij een systeem, componenten van systemen en/of het beoogde gedrag van IT-systemen of gegevens daarin worden gewijzigd.
Mario Vuksan, CEO en medeoprichter van ReversingLabs, vindt de uitkomsten niet verrassend, gezien de zichtbaarheid van spraakmakende eerder genoemde aanvallen. “Organisaties erkennen dat softwarerisico's verder reiken dan kwetsbaarheden en malware, en dat software-manipulatie een groeiende aanvalsvorm is die hen blootstelt aan nieuwe risico's.”
Inventaris van 'softwarebouwmaterialen'
Uit het onderzoek bleek ook dat leidinggevenden openstaan voor het gebruik van tools die risico’s in kaart brengen, zoals de Software Bill of Materials (SBoM). Dit is een elektronisch document dat de onderdelen beschrijft waaruit een stuk software bestaat.
De meeste bedrijven slagen er echter niet in om zelf SBoM's te genereren en te beoordelen. Respondenten zeiden dat de complexiteit en prevalentie van vervelende, handmatige processen voor het maken van SBoM's obstakels waren.
Dit betreft overigens niet alleen softwaregebruikende bedrijven, die aan de ene kant van supplychains zitten. Ook softwareproducenten die zich 'middenin' zulke ketens bevinden, hebben lang niet altijd weet van hun SBoM's. Het recente praktijkgeval van opensourcetool Log4j heeft aangetoond dat veel IT-leveranciers zich toen niet gelijk bewust waren van risico dat zij en hun klanten liepen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee