.



Onderzoek: Software supply chains zijn kwetsbaar volgens 82% CIO’s

Venafi_WhitepaperCIO.jpeg

Venafi, gespecialiseerd in het beschermen van machine-identiteiten, heeft de resultaten bekendgemaakt van een wereldwijd onderzoek onder 1.000 CIO’s. Daaruit blijkt dat maar liefst 82% van de respondenten zegt dat hun organisaties kwetsbaar zijn voor cyberaanvallen die gericht zijn op software supply chains. De transitie naar cloud native ontwikkelingen en de toegenomen snelheid van software-ontwikkelingen door de invoering van DevOps-processen, heeft de uitdagingen gerelateerd aan het beschermen van de software supply chains aanzienlijk complexer gemaakt. Ondertussen zijn kwaadwillenden, gemotiveerd door de succesvolle aanvallen op bedrijven als SolarWinds en Kaseya, hun aanvallen op software supply chains aan het opvoeren.

Groei aantal en complexiteit aanvallen

De groei van het aantal en de complexiteit van aanvallen op de software supply chain in de afgelopen twaalf maanden heeft dit risico ook onder de aandacht gebracht van CEO's en leden van de raad van bestuur. CIO's maken zich daarom steeds meer zorgen over de mogelijk ernstige verstoringen van de bedrijfsvoering, omzetderving, informatiediefstal en schade voor klanten, die het gevolg kunnen zijn van succesvolle aanvallen op de software supply chain.

Belangrijkste onderzoeksresultaten

  • 87% van de CIO's denkt dat software-engineers en -ontwikkelaars compromissen sluiten over het securitybeleid en -controles om nieuwe producten en diensten sneller op de markt te krijgen.
  • 85% van de ondervraagde CIO's heeft van de directie of CEO de opdracht gekregen om de beveiliging van software-ontwikkelingen te verbeteren.
  • 84% zegt dat het budget voor de beveiliging van software-ontwikkelingen het afgelopen jaar is toegenomen.

Meer dan 90% van alle softwaretoepassingen maakt gebruik van open source-componenten, terwijl de afhankelijkheden en kwetsbaarheden gerelateerd aan open source-software uiterst complex zijn. CI/CD- en DevOps-processen zijn meestal georganiseerd om ontwikkelaars in staat te stellen snel te werken, maar niet noodzakelijkerwijs zo veilig mogelijk. In het streven naar steeds snellere innovatie beperken de complexiteit van open source en de snelheid van ontwikkelingen de doeltreffendheid van beveiligingscontroles binnen de software supply chain.

CIO's beseffen dat zij hun aanpak moeten veranderen om de risico’s te verkleinen, waardoor

  • 68% meer securitycontroles laat uitvoeren
  • 57% de beoordelingsprocessen heeft geactualiseerd
  • 56% het gebruik van code signing uitbreidt, een belangrijk controlemiddel
  • 47% kritischer naar de herkomst van hun open source bibliotheken kijkt

"Digitale transformatie maakt van elk bedrijf een software-ontwikkelaar, waardoor hun omgevingen voor software-ontwikkeling een interessant doelwit worden voor kwaadwillenden", zegt Kevin Bocek, vice president threat intelligence en business development bij Venafi. "Hackers hebben ontdekt dat succesvolle aanvallen op de software supply chain, vooral aanvallen gericht op machine-identiteiten, uiterst efficiënt en winstgevend zijn."

Bocek heeft bij dit soort aanvallen al tientallen manieren gezien om de ontwikkelomgevingen te compromitteren, waaronder aanvallen die gebruikmaken van open source componenten zoals Log4j. "De realiteit is dat ontwikkelaars meer gericht zijn op innovatie en snelheid dan op beveiliging", legt Bocek uit. "Helaas hebben securityteams vaak onvoldoende kennis of middelen om ontwikkelaars te helpen deze problemen op te lossen en worden de CIO's nu pas wakker voor deze risico’s."

"CIO's beseffen dat ze de beveiliging van de software supply chain moeten verbeteren, maar het is ontzettend moeilijk om te bepalen waar de risico's zitten, welke verbeteringen de grootste winst opleveren en hoe deze veranderingen het risico in de loop van de tijd verminderen", vervolgt Bocek. "We kunnen deze uitdaging niet oplossen met bestaande methodieken. In plaats daarvan moeten we anders gaan denken over de identiteit en integriteit van de code die we bouwen en gebruiken. Die moeten we bij elke stap van het ontwikkelingsproces op machinesnelheid beschermen en beveiligen."

Meer informatie om de beveiliging van een software supply chain te beoordelen en aanbevelingen te krijgen over ‘best practices’ is te vinden op: https://jetstack.io/software-supply-chain/


Dit onderzoek is uitgevoerd door Coleman Parkes Research, in opdracht van Venafi, onder 1.000 CIO’s in de regio’s de Verenigde Staten, het Verenigd Koninkrijk, Frankrijk, DACH (Duitsland, Oostenrijk en Zwitserland), de Benelux en Australië/Nieuw Zeeland.

Lees ook
ESET is Customers' Choice voor middelgrote ondernemingen volgens 2024 Gartner Peer Insights

ESET is Customers' Choice voor middelgrote ondernemingen volgens 2024 Gartner Peer Insights

ESET, een wereldwijd leider op het gebied van cybersecurityoplossingen, is uitgeroepen tot Customers' Choice voor middelgrote ondernemingen in het 2024 Gartner® Peer Insights™ 'Voice of the Customer' rapport voor Endpoint Protection Platforms.

CrowdStrike en Cloudflare breiden samenwerking uit voor netwerkbeveiliging en een AI-native SOC

CrowdStrike en Cloudflare breiden samenwerking uit voor netwerkbeveiliging en een AI-native SOC

CrowdStrike en Cloudflare hebben een uitbreiding van hun strategisch partnerschap aangekondigd. Beide bedrijven verbinden hun platforms om de beveiliging van apparaten en netwerken te verbeteren, de transformatie van het Security Operations Center (SOC) te versnellen en inbraakpogingen te stoppen.

Arctic Wolf verbetert security van hybride medewerkers door integratie met Security Service Edge (SSE) oplossingen

Arctic Wolf verbetert security van hybride medewerkers door integratie met Security Service Edge (SSE) oplossingen

Het Arctic Wolf Platform kan nu geïntegreerd worden nu met Security Service Edge (SSE) oplossingen van Cato Networks, Netskope en Zscaler. Dankzij deze integraties kunnen Arctic Wolf Managed Detection and Response klanten hun SSE-investeringen effectiever inzetten