Zabrinutost oko lanca opskrbe softvera je u porastu
Iako je oslanjanje na pružatelje usluga trećih strana, od aplikacija do IT infrastrukture i usluga, bilo normalno čak i prije pandemije, sada se tempo usvajanja povećava. Ovi trendovi potiču sve veću zabrinutost među stručnjacima za sigurnost, kao što je prikazano u nedavnoj anketi koju je proveo Neustar International Security Council (NISC), gdje je 76% ispitanika reklo da sada rizik lanca opskrbe softvera smatra glavnim sigurnosnim prioritetom.
Ugrožavanje pružatelja aplikacije ili pouzdanog dobavljača vrlo je vrijedno s gledišta napadača. Razmotrite dobavljača aplikacija koji prodaje ERP aplikaciju tisućama klijenata. Ubacivanje zlonamjernog softvera u redovito ažuriranje takvog ERP softvera omogućuje izravno uporište u tisućama organizacija. Ove takozvane napade na lanac opskrbe zlonamjerni akteri sve više ispituju.
Dobro poznati primjer napada na opskrbni lanac je Sunburst, počinjen protiv dobavljača softvera SolarWinds još 2020. U ovom slučaju, napadač je infiltrirao kôd u redovito ažuriranje SolarWinds softvera, a što je isporučilo zlonamjerni softver u otprilike 18 000 organizacija širom svijeta koje su koristile SolarWinds kao legitimni alat za mrežni nadzor. Microsoft je pronašao najmanje 40 organizacija koje su infiltrirane zahvaljujući ovoj implementaciji.
Organizacije su se u prošlosti brinule da dobavljač koji prodaje softver ima sigurnosne bugove koji se mogu iskoristiti (Microsoft, sjećate se?). Sada se brinemo je li mreža dobavljača infiltrirana i njihovi repozitoriji kôda potkopani kako bi se automatski isporučio zlonamjerni softver tisućama organizacija. Dok su ranije sigurnosne pogreške uglavnom bile nenamjerne posljedice loših praksi kodiranja, sada se radi o zlonamjernim namjerama mnoštva dobro financiranih i motiviranih aktera i organizacija.
Od kompromitiranih pouzdanih dobavljača softvera do zlonamjernih biblioteka na inače legitimnim spremištima koda, vrijedi zapamtiti da je svaka organizacija sigurna onoliko koliko i njen najmanje siguran partner u opskrbnom lancu.
Pročitajte više o istraživanju NISC-a na Help Net Security.
![[Webinar] NIS2, CER, CRA - kako se snaći u šumi novih propisa o kibersigurnosti?](https://static.wixstatic.com/media/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg/v1/fill/w_305,h_305,fp_0.50_0.50,q_90,enc_auto/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg)
