- 65% van de organisaties heeft het afgelopen jaar te maken gehad met supply chain-aanvallen
- De adoptie van GenAI verergert de risico’s; slechts 24% analyseert door AI gegenereerde code op beveiligings- of IP-problemen
- Continue compliance en automatisering verbeteren de oplossingssnelheid en de effectiviteit van de verdediging
De softwaretoeleveringsketen – een heel netwerk van componenten, tools en processen die worden gebruikt om software te ontwikkelen, bouwen en leveren – is uitgegroeid tot een populair nieuw aanvalsoppervlak, dat cybercriminelen de mogelijkheid biedt om standaardverdedigingen te omzeilen en onevenredig grote beloningen te plukken uit één enkel compromis.
Dat blijkt uit ‘Navigating Software Supply Chain Risk in a Rapid-Release World’, een diepgaand nieuw rapport gepubliceerd door applicatiebeveiligingsbedrijf Blackduck.
Gebaseerd op een onderzoek onder 540 leiders op het gebied van softwarebeveiliging, stelt het rapport dat tweederde (65%) van de organisaties in de afgelopen twaalf maanden ten minste één supply chain-aanval heeft meegemaakt.
Naleving is essentieel
Deze incidenten worden steeds veelzijdiger: organisaties melden kwaadaardige afhankelijkheden (30%), niet-gepatchte kwetsbaarheden (28%), zero-day exploits (27%) en malware-injecties in build-pijplijnen (14%).
De snelheid waarmee generatieve kunstmatige intelligentie (GenAI) in bedrijven wordt toegepast, maakt de zaken alleen maar erger. Blackduck zegt dat bijna alle (95%) organisaties nu AI-tools gebruiken voor softwareontwikkeling (voornamelijk ChatGPT), maar dat de beveiligingsprotocollen geen gelijke tred houden. Het vertrouwen in de tool is groot, terwijl de daadwerkelijke verificatie alarmerend is.
In feite analyseert slechts een kwart (24%) van de organisaties Code gegenereerd door kunstmatige intelligentie voor zaken als intellectueel eigendom, licentieverlening, beveiliging of kwaliteitsrisico’s. Dit, zo stelt het rapport, laat voldoende ruimte voor kwetsbaarheden in de toeleveringsketen, waaronder de introductie van auteursrechtelijk beschermd intellectueel eigendom of het blootleggen van gevoelige API-sleutels.
Om uw verdediging te versterken, moet u de naleving zorgvuldig overwegen. Blackduck stelt dat, in tegenstelling tot wat vaak wordt gedacht, een op compliance gerichte aanpak de reactietijden van de beveiliging juist versnelt.
Er lijkt een duidelijk verband te bestaan tussen robuuste nalevingscontroles en de snelheid van herstel: 54% van de organisaties gebruikt ten minste vier soorten nalevingscontroles die aanzienlijk sneller reageren op kritieke kwetsbaarheden dan 45% van de algemene enquêtepool.
Bovendien lijkt automatisering niet onderhandelbaar. Het vertrouwen op periodieke handmatige monitoring, wat momenteel ongeveer 36% van de respondenten doet, wordt algemeen als onvoldoende beschouwd. Tegelijkertijd worden organisaties met automatische continue monitoring omschreven als “veel effectiever”.
De beste antivirus voor elk budget
Volg TechRadar op Google Nieuws EN voeg ons toe als uw favoriete bron om nieuws, recensies en meningen van onze experts in uw feeds te krijgen. Klik dan zeker op de knop Volgen!
En jij kunt dat natuurlijk ook Volg TechRadar op TikTok voor nieuws, recensies, unboxing in videoformaat en ontvang regelmatig updates van ons WhatsApp ook.
