Por John P. Mello Jr.
Mais de três em cada cinco empresas foram alvo de ataques na cadeia de fornecimento de software em 2021, de acordo com um recente inquérito da Anchore. O inquérito realizado a 428 executivos, diretores e gestores de TI, segurança, desenvolvimento e DevOps concluiu que organizações de quase um terço dos inquiridos (30%) foram significativa ou moderadamente afetadas por um ataque à cadeia de fornecimento de software em 2021. Apenas 6% disseram que os ataques tiveram um impacto menor na sua cadeia de fornecimento de software.
A pesquisa incluiu a descoberta da vulnerabilidade encontrada no utilitário Apache Log4. Os investigadores realizaram o inquérito de 3 a 30 de dezembro de 2021. O Log4j foi revelado no dia 9 de dezembro. Antes dessa data, 55% dos inquiridos afirmaram ter sofrido um ataque à cadeia de fornecimento de software. Depois dessa data, esse número subiu para 65%.
“Isto significa que havia pessoas totalmente novas que não tinham sofrido um ataque na cadeia de abastecimento antes de Log4j e que havia pessoas que tinham sofrido um ataque anterior, mas estavam a ver um impacto mais forte depois de Log4j”, diz Kim Weins, vice-presidente sénior da Anchore.
Empresas tecnológicas mais atingidas por ataques em cadeia de fornecimento de software
A pesquisa concluiu ainda que mais empresas tecnológicas foram significativamente afetadas por ataques à cadeia de fornecimento de software (15%), em comparação com outros setores (3%). “As empresas de tecnologia potencialmente criam ROI para maus atores”, diz Wein. “Se um intruso pode entrar num produto de software e esse produto de software é entregue a milhares de outros, têm agora um ponto de apoio em milhares de outras empresas.”
A segurança da cadeia de abastecimento também parece estar a ganhar atenção em muitas organizações, com 54% dos inquiridos a identificá-la como uma área de foco primária ou significativa. O interesse entre os utilizadores de contentores maduros foi ainda maior, com 70% a declarar a segurança da cadeia de abastecimento como um foco importante ou significativo.
“O número de dependências que precisa para estar atento aos aumentos com contentores e implantações de nuvens nativas”, diz Weins. “Assim, à medida que as pessoas se tornam mais maduras com os contentores, reconhecem que precisam de prestar atenção a todas as superfícies de ataque extra criadas por estas dependências.”
SBOM crítico para proteger a cadeia de fornecimento de software
Embora a proteção da cadeia de fornecimento de software pareça ser a prioridade de muitos dos inquiridos, o relatório observou que poucos estão a incorporar contas de software de materiais (SBOM) nas suas posturas de segurança. Por exemplo, menos de um terço dos inquiridos segue as melhores práticas da SBOM e apenas 18% têm um SBOM completo para todas as suas aplicações.
“Acreditamos que a SBOM é uma base crítica para proteger a cadeia de fornecimento de software porque fornece visibilidade para o software que está realmente a usar “, diz Weins.
Um SBOM também pode ajudar a acelerar o tempo de resposta de uma equipa de segurança quando as vulnerabilidades são descobertas. “Sem um SBOM, a linha temporal para corrigir estas vulnerabilidades pode durar meses ou anos”, nota Sounil Yu, CISO da JupiterOne, uma empresa de soluções de gestão de ativos e governação.
“Sem SBOM, os clientes investem em soluções de black box -, resultando no desconhecimento de todos os componentes utilizados num produto ou serviço”, acrescenta Rick Holland, CISO of Digital Shadows, fornecedor de soluções digitais de proteção ao risco.
Weins sustenta que o SBOM será obrigatório em 2022. “Está a tornar-se óbvio para todos que a segurança do software começa por compreender o que tem – uma lista completa de componentes – e depois usa para verificar a segurança antes de entregar o software. Por isso, é necessário monitorizar continuamente a segurança do software após a sua implementação.”
