Ataques à cadeia de suprimentos de software atingiram três em cada cinco empresas em 2021

Por John P. Mello Jr. da CSO

Mais de três em cada cinco empresas foram alvo de ataques à cadeia de suprimentos de software em 2021, de acordo com uma pesquisa recente da Anchore. A pesquisa com 428 executivos, diretores e gerentes de TI, segurança, desenvolvimento e DevOps descobriu que as organizações de quase um terço dos entrevistados (30%) foram significativa ou moderadamente impactadas por um ataque à cadeia de suprimentos de software em 2021. Somente 6% disseram que os ataques tiveram um impacto menor em sua cadeia de fornecimento de software.

A pesquisa incluiu a descoberta da vulnerabilidade encontrada no utilitário Apache Log4. Os pesquisadores realizaram a pesquisa de 3 a 30 de dezembro de 2021. O Log4j foi revelado em 9 de dezembro. Antes dessa data, 55% dos entrevistados disseram ter sofrido um ataque na cadeia de suprimentos de software. Após essa data, esse número saltou para 65%.

“Isso significa que havia pessoas totalmente novas que não haviam sofrido um ataque na cadeia de suprimentos antes do Log4j e que havia pessoas que haviam sofrido um ataque anterior, mas estavam vendo um impacto mais forte após o Log4j”, diz Kim Weins, Vice-Presidente Sênior da Anchore.

Empresas de tecnologia são mais atingidas por ataques à cadeia de suprimentos de software

A pesquisa também descobriu que mais empresas de tecnologia foram significativamente impactadas por ataques à cadeia de suprimentos de software (15%), em comparação com outros setores (3%). “As empresas de tecnologia potencialmente criam ROI para os maus atores”, diz Wein. “Se um invasor pode entrar em um produto de software e esse produto de software é entregue a milhares de outras pessoas, eles agora têm um ponto de apoio em milhares de outras empresas”.

A segurança da cadeia de suprimentos também parece estar conquistando a atenção em muitas organizações, com 54% dos entrevistados identificando-a como uma área de foco principal ou significativa. O interesse entre os usuários de contêineres maduros foi ainda maior, com 70% declarando a segurança da cadeia de suprimentos como um foco importante ou significativo para eles.

“O número de dependências às quais você precisa prestar atenção aumenta com contêineres e implantações nativas da nuvem”, diz Weins. “Então, à medida que as pessoas ficam mais maduras com os contêineres, elas reconhecem que precisam prestar atenção a todas as superfícies de ataque extras criadas por essas dependências”.

SBOM crítico para proteger a cadeia de fornecimento de software

Embora a proteção da cadeia de suprimentos de software pareça ser a prioridade de muitos entrevistados, observou o relatório, poucos estão incorporando listas de materiais de software (SBOMs) em suas posturas de segurança. Por exemplo, menos de um terço dos entrevistados estão seguindo as melhores práticas de SBOM e apenas 18% têm um SBOM completo para todas as suas aplicações.

“Acreditamos que o SBOM é uma base crítica para proteger a cadeia de fornecimento de software porque fornece a visibilidade de qual software você está realmente usando”, diz Weins.

Um SBOM também pode ajudar a acelerar o tempo de resposta de uma equipe de segurança quando as vulnerabilidades são descobertas. “Sem um SBOM, o cronograma para corrigir essas vulnerabilidades pode se estender por meses ou anos”, observa Sounil Yu, CISO da JupiterOne, uma empresa de soluções de gerenciamento e governança de ativos.

“Sem SBOMs, os clientes investem em soluções de caixa preta, resultando na falta de conhecimento de todos os componentes usados em um produto ou serviço”, acrescenta Rick Holland, CISO da Digital Shadows, fornecedora de soluções de proteção contra riscos digitais.

Weins sustenta que o SBOM será obrigatório em 2022. “Está se tornando óbvio para todos que a segurança de software começa com a compreensão do que você tem – uma lista completa de componentes – e depois usa isso para verificar a segurança antes de entregar o software. Então você precisa monitorar continuamente a segurança do software após sua implantação”.