Venafi, gespecialiseerd in het beschermen van machine-identiteiten, heeft de resultaten bekendgemaakt van een wereldwijd onderzoek onder 1.000 CIO's. Daaruit blijkt dat maar liefst 82 procent van de respondenten zegt dat hun organisaties kwetsbaar zijn voor cyberaanvallen die gericht zijn op software supply chains.
De transitie naar cloud native ontwikkelingen en de toegenomen snelheid van software-ontwikkelingen door de invoering van DevOps-processen, heeft de uitdagingen gerelateerd aan het beschermen van de software supply chains aanzienlijk complexer gemaakt. Ondertussen zijn kwaadwillenden, gemotiveerd door de succesvolle aanvallen op bedrijven als SolarWinds en Kaseya, hun aanvallen op software supply chains aan het opvoeren.
Groei aantal en complexiteit aanvallen
De groei van het aantal en de complexiteit van aanvallen op de software supply chain in de afgelopen twaalf maanden heeft dit risico ook onder de aandacht gebracht van CEO's en leden van de raad van bestuur. CIO's maken zich daarom steeds meer zorgen over de mogelijk ernstige verstoringen van de bedrijfsvoering, omzetderving, informatiediefstal en schade voor klanten, die het gevolg kunnen zijn van succesvolle aanvallen op de software supply chain.
Belangrijkste onderzoeksresultaten
• 87 procent van de CIO's denkt dat software-engineers en -ontwikkelaars compromissen sluiten over het securitybeleid en -controles om nieuwe producten en diensten sneller op de markt te krijgen.
• 85 procent van de ondervraagde CIO's heeft van de directie of CEO de opdracht gekregen om de beveiliging van software-ontwikkelingen te verbeteren.
• 84 procent zegt dat het budget voor de beveiliging van software-ontwikkelingen het afgelopen jaar is toegenomen.
Meer dan 90 procent van alle softwaretoepassingen maakt gebruik van open source-componenten, terwijl de afhankelijkheden en kwetsbaarheden gerelateerd aan open source-software uiterst complex zijn. CI/CD- en DevOps-processen zijn meestal georganiseerd om ontwikkelaars in staat te stellen snel te werken, maar niet noodzakelijkerwijs zo veilig mogelijk. In het streven naar steeds snellere innovatie beperken de complexiteit van open source en de snelheid van ontwikkelingen de doeltreffendheid van beveiligingscontroles binnen de software supply chain.
CIO's beseffen dat zij hun aanpak moeten veranderen om de risico’s te verkleinen, waardoor
• 68 procent meer securitycontroles laat uitvoeren
• 57 procent de beoordelingsprocessen heeft geactualiseerd
• 56 procent het gebruik van code signing uitbreidt, een belangrijk controlemiddel
• 47 procent kritischer naar de herkomst van hun open source bibliotheken kijkt
Meer gericht zijn op innovatie en snelheid
"Digitale transformatie maakt van elk bedrijf een software-ontwikkelaar, waardoor hun omgevingen voor software-ontwikkeling een interessant doelwit worden voor kwaadwillenden", zegt Kevin Bocek, vice president threat intelligence en business development bij Venafi. "Hackers hebben ontdekt dat succesvolle aanvallen op de software supply chain, vooral aanvallen gericht op machine-identiteiten, uiterst efficiënt en winstgevend zijn."
Bocek heeft bij dit soort aanvallen al tientallen manieren gezien om de ontwikkelomgevingen te compromitteren, waaronder aanvallen die gebruikmaken van open source componenten zoals Log4j. "De realiteit is dat ontwikkelaars meer gericht zijn op innovatie en snelheid dan op beveiliging", legt Bocek uit. "Helaas hebben securityteams vaak onvoldoende kennis of middelen om ontwikkelaars te helpen deze problemen op te lossen en worden de CIO's nu pas wakker voor deze risico’s."
"CIO's beseffen dat ze de beveiliging van de software supply chain moeten verbeteren, maar het is ontzettend moeilijk om te bepalen waar de risico's zitten, welke verbeteringen de grootste winst opleveren en hoe deze veranderingen het risico in de loop van de tijd verminderen", vervolgt Bocek. "We kunnen deze uitdaging niet oplossen met bestaande methodieken. In plaats daarvan moeten we anders gaan denken over de identiteit en integriteit van de code die we bouwen en gebruiken. Die moeten we bij elke stap van het ontwikkelingsproces op machinesnelheid beschermen en beveiligen."
18 t/m 20 november 2024Praktische workshop met internationaal gerenommeerde spreker Alec Sharp over het modelleren met Entity-Relationship vanuit business perspectief. De workshop wordt ondersteund met praktijkvoorbeelden en duidelijke, herbruikbare ...
De DAMA DMBoK2 beschrijft 11 disciplines van Data Management, waarbij Data Governance centraal staat. De Certified Data Management Professional (CDMP) certificatie biedt een traject voor het inleidende niveau (Associate) tot en met hogere niveaus van...
3 april 2025 (halve dag)Praktische workshop met Alec Sharp [Halve dag] Deze workshop door Alec Sharp introduceert conceptmodellering vanuit een non-technisch perspectief. Alec geeft tips en richtlijnen voor de analist, en verkent datamodellering op c...
10, 11 en 14 april 2025Praktische driedaagse workshop met internationaal gerenommeerde spreker Alec Sharp over herkennen, beschrijven en ontwerpen van business processen. De workshop wordt ondersteund met praktijkvoorbeelden en duidelijke, herbruikba...
Alleen als In-house beschikbaarWorkshop met BPM-specialist Christian Gijsels over business analyse, modelleren en simuleren met de nieuwste release van Sparx Systems' Enterprise Architect, versie 16.Intensieve cursus waarin de belangrijkste basisfunc...
Deel dit bericht