Um estudo global da Venafi revela que 82% dos CIOs admitem que suas organizações são vulneráveis a ataques cibernéticos direcionados a software da cadeia de suprimento. A mudança para o desenvolvimento nativo em nuvem, juntamente com a maior velocidade no desenvolvimento após a adoção de processos de DevOps, tornou os desafios relacionados à segurança das cadeias de suprimentos infinitamente mais complexos, diz a fornecedora de soluções de proteção de identidades de máquinas.
Segundo o relatório, os cibercriminosos, motivados pelo sucesso de ataques de alto perfil a software da cadeia de suprimentos em empresas como SolarWinds e Kaseya, estão intensificando os ataques contra ambientes de desenvolvimento e distribuição de software.
De acordo com o estudo, o aumento acentuado no número e na sofisticação desses ataques nos últimos 12 meses colocou o assunto em foco, ganhando a atenção de CEOs e conselhos de administração. Como resultado, os CIOs estão cada vez mais preocupados com as sérias interrupções nos negócios, perda de receita, roubo de dados e danos ao cliente que podem resultar de ataques bem-sucedidos à cadeia de suprimentos.
O levantamento mostra ainda que 87% dos CIOs acreditam que engenheiros e desenvolvedores de software comprometem políticas e controles de segurança para colocar novos produtos e serviços no mercado mais rapidamente. Além disso, 85% dos líderes de TI disseram que foram instruídos pelo conselho de administração ou pelo CEO para melhorar a segurança dos ambientes de desenvolvimento e distribuição de software.
“A transformação digital tornou cada empresa desenvolvedora de software. E, como resultado, os ambientes de desenvolvimento de software tornaram-se um grande alvo para cibercriminosos”, disse Kevin Bocek, vice-presidente de inteligência em ameaças e desenvolvimento de negócios da Venafi. “Os hackers descobriram que ataques bem-sucedidos à cadeia de suprimentos, especialmente aqueles que visam identidades de máquinas, são extremamente eficientes e mais lucrativos”, disse ele ao site Channel Life.
Veja isso
Ataque à cadeia de suprimentos atingiu 93% das empresas
Backdoor vem atacando sistemas Linux e Solaris há mais de 5 anos
Bocek disse ainda que viu literalmente dezenas de maneiras de comprometer ambientes de desenvolvimento nesses tipos de ataques, incluindo ataques que aproveitam componentes de software de código aberto como o Log4j. “A realidade é que os desenvolvedores estão focados em inovação e velocidade em vez de segurança. Infelizmente, as equipes de segurança raramente têm o conhecimento ou os recursos para ajudar os desenvolvedores a resolver esses problemas e os CIOs estão apenas acordando para esses desafios.”
Mais de 90% dos aplicativos de software usam componentes de código aberto, e as dependências e vulnerabilidades associadas ao software de livre são extremamente complexas. Os pipelines de CI/CD e DevOps geralmente são estruturados para permitir que os desenvolvedores se movam rapidamente, mas não necessariamente com mais segurança. No esforço para inovar mais rápido, a complexidade do código aberto e a velocidade do desenvolvimento limitam a eficácia dos controles de segurança da cadeia de suprimentos de software.
Os CIOs entendem que precisam mudar a abordagem para superar esses desafios. Como resultado 68% disseram que estão implementando mais controles de segurança, enquanto 57% adiantam que estão atualizando seus processos de revisão. Além disso, 56% informaram que estão expandindo o uso de assinatura de código, um controle de segurança importante para cadeias de suprimentos.