Zabrinutost oko lanca nabavke softvera je u porastu

Dok je oslanjanje na dobavljače usluga trećih osoba, od aplikacija do IT infrastrukture i usluga, bilo normalno čak i pre pandemije, sada se tempo usvajanja povećava. Ovi trendovi izazivaju sve veću zabrinutost među profesionalcima u oblasti bezbednosti, kao što je pokazalo nedavno istraživanje koje je sproveo Neustar International Security Council (NISC), gde je 76% ispitanika reklo da sada rizik lanca snabdevanja softvera smatra glavnim bezbednosnim prioritetom.

Kompromitovanje provajdera aplikacije ili dobavljača od poverenja veoma je vredno s tačke gledišta napadača. Zamislite dobavljača aplikacija koji prodaje ERP aplikaciju hiljadama kupaca. Umetanje zlonamjernog softvera u redovito ažuriranje takvog ERP softvera omogućava direktno uporište u hiljadama organizacija. Ove takozvane napade na lanac snabdevanja akteri pretnje sve više istražuju.

Dobro poznati primer napada na lanac snabdevanja je Sunburst, počinjen protiv dobavljača softvera SolarWinds još 2020. U ovom slučaju, ažuriranje malvera raspoređeno je u približno 18 000 organizacija širom sveta. Microsoft je pronašao najmanje 40 organizacija koje su infiltrirane ovom implementacijom.

Organizacije su se brinule da dobavljač koji prodaje softver ima bezbednosne bugove koji se mogu iskoristiti (Microsoft, sećate se?). Sada se brinemo da li je mreža dobavljača infiltrirana i njihovi repozitoriji koda ugroženi da bi se automatski poslalo zlonamerno ažuriranje hiljadama organizacija. Dok su ranije bezbednosne greške uglavnom bile neželjene posledice loših prakse kodiranja, sada se radi o zlonamernim namerama mnoštva dobro finansiranih i motivisanih aktera pretnji.

Od kompromitovanih provjerenih dobavljača softvera do zlonamernih paketa na inače legitimnim spremištima koda, vrijedi zapamtiti da je svaka organizacija bezbedna onoliko koliko i njen najmanje siguran partner u lancu snabdevanja.

Pročitajte više o istraživanju NISC-a na Help Net Security.