Zabrinutost oko lanca nabavke softvera je u porastu

Iako je oslanjanje na pružatelje usluga trećih osoba, od aplikacija do IT infrastrukture i usluga, bilo normalno čak i prije pandemije, sada se tempo usvajanja povećava. Ovi trendovi izazivaju sve veću zabrinutost među sigurnosnim stručnjacima, kao što je prikazano u nedavnom istraživanju koje je sproveo Neustar International Security Council (NISC), gdje je 76% ispitanika reklo da sada rizik lanca opskrbe softvera smatra glavnim sigurnosnim prioritetom.

Kompromitovanje pružatelja aplikacije ili dobavljača od poverenja veoma je vredno s gledišta napadača. Zamislite dobavljača aplikacija koji prodaje ERP aplikaciju hiljadama kupaca. Umetanje zlonamjernog softvera u redovito ažuriranje takvog ERP softvera omogućava direktno uporište u hiljadama organizacija. Ove takozvane napade na lanac snabdevanja akteri pretnje sve više istražuju.

Dobro poznati primjer napada na lanac nabavke je Sunburst, počinjen protiv dobavljača softvera SolarWinds još 2020. U ovom slučaju, ažuriranje zlonamjernog softvera raspoređeno je u približno 18 000 organizacija širom svijeta. Microsoft je pronašao najmanje 40 organizacija koje su infiltrirane ovom implementacijom.

Organizacije su se brinule da dobavljač koji prodaje softver ima sigurnosne bugove koji se mogu iskoristiti (Microsoft, sećate se?). Sada se brinemo da li je mreža dobavljača infiltrirana i njihovi repozitoriji koda potkopani kako bi se automatski poslalo zlonamjerno ažuriranje hiljadama organizacija. Dok su ranije sigurnosne greške uglavnom bile nenamjerne posljedice loše prakse kodiranja, sada se radi o zlonamjernim namjerama mnoštva dobro financiranih i motiviranih aktera prijetnji.

Od kompromitovanih provjerenih dobavljača softvera do zlonamjernih paketa na inače legitimnim spremištima koda, vrijedi zapamtiti da je svaka organizacija sigurna onoliko koliko i njen najmanje siguran partner u lancu nabavke.

Pročitajte više o istraživanju NISC-a na Help Net Security.