Веригите за доставка на софтуер – новата уязвимост

Подписването на програмния код може да е ключът към справянето с атаките към веригите на доставка на софтуер (Снимка: rawpixel.com)

Въпреки че веригите за доставки не са толкова затормозени, както бяха по време на пандемията, все още има някои големи проблеми при тях. Ново проучване сред 1000 главни ИТ директори, проведено от Venafi, показва, че над 80% от ИТ лидерите, че техните организации са уязвими към кибератаки, насочени към веригите за доставка на софтуер. Тези слабости в киберсигурността остават основен проблем за много фирми, тъй като процентът на атаките към веригата за доставки е нараснал с 51% само миналата година.

„Дигиталната трансформация направи от всеки бизнес разработчик на софтуер. В резултат на това средите за разработка на софтуер се превърнаха в огромни мишени за нападателите“, каза Кевин Бочек, вицепрезидент по разузнаване на заплахи и бизнес развитие за Venafi. „Хакерите откриха, че успешните атаки към веригите за доставки са изключително ефективни и са много печеливши.“

Освен това 85% от ИТ директорите са специално инструктирани от борда или главния изпълнителен директор да предприемат действия за подобряване на сигурността на средата за разработка и изграждане на софтуер. Но остава въпросът как се направи това?

Осуетяване на кибератаките

Описаният скок в кибератаките спрямо веригата за доставка на софтуер през предходната година постави акцент върху проблема: компаниите трябва да предприемат действия незабавно, ако не искат да станат поредните имена в дългия списък с жертви. За да се борят с тези потенциални пропуски в сигурността, 84% от анкетираните смятат, че тяхната организация е отделила значителна част от бюджета си за защита на веригата за доставки през последната година.

Според ИТ директорите, техните подходи са се променили чрез прилагане на повече контроли за сигурност (68%), допълнително използване на подписване на кода (56%) и разглеждане на произхода на библиотеките с отворен код (47%). Въпреки това, някои ИТ директори и бизнеси са по-малко склонни да променят своите практики за сигурност. Така е, защото контролът ще изисква фундаментална промяна в структурата за по-добра сигурност на процедурите за изграждане на софтуер.

„ИТ директорите осъзнават, че трябва да подобрят сигурността на веригата за доставки на софтуер, но е изключително трудно да се определи къде точно са рисковете, кои подобрения осигуряват най-добър резултат и как въпросните промени намаляват риска с течение на времето“, казва Бочек. „Не можем да решим този проблем, използвайки съществуващите методологии. Вместо това трябва да мислим по различен начин за идентичността и целостта на кода, който изграждаме и използваме. Трябва да го защитаваме и да гарантираме сигурността му на всяка стъпка от процеса на разработка, с машинна скорост“.

Подписване на кода

Според констатациите на проучването, екипите по информационна сигурност нямат необходимата дълбочина на знанията, за да се справят с тънкостите на процедурите по изграждане на софтуер. Въпреки че злонамерените страни започнаха да проникват в лошо защитени CI/CD системи, време е организациите да започнат да използват подхода на подписване на кода, за да повишат сигурността на веригите за доставки.

Използвайки подписване на код за наличните уязвими системи, предприятията могат да „хванат“ неподписания зловреден софтуер, преди той да нанесе щети и да създаде хаос във веригата за доставка – съответно и в клиентската база. От всички ИТ директори, които са отговорили в анкетата, 71% твърдят, че бюджетът им за подписване на код се увеличава, а 56% казват, че техният бизнес е положил усилия да използва повече подписване на код, за да компенсира риска от допълнителни кибератаки.

Според анализа на данните от това проучване, компаниите трябва да използват повече процедури за подписване на код, дори ако това означава в краткосрочен план да претърпят голям дискомфорт – докато преструктурират организацията за гарантиране на киберсигурност.