Serangan rantai pasokan lebih dari tiga kali lipat pada tahun 2021

Rantai rusak

Serangan rantai pasokan perangkat lunak tumbuh lebih dari 300 persen pada tahun 2021 dibandingkan dengan tahun 2020 karena penyerang berfokus pada kerentanan dan keracunan sumber terbuka, masalah integritas kode, dan mengeksploitasi proses rantai pasokan perangkat lunak dan kepercayaan pemasok untuk mendistribusikan malware atau pintu belakang.

Menurut lengan Argon Security Aqua Security, Tinjauan Keamanan Rantai Pasokan Perangkat Lunak 2021, keamanan di seluruh lingkungan pengembangan perangkat lunak tetap rendah, dan secara signifikan, setiap perusahaan yang dievaluasi memiliki kerentanan dan kesalahan konfigurasi yang dapat membuat mereka terkena serangan rantai pasokan.

“Jumlah serangan selama setahun terakhir dan dampak luas dari satu serangan menyoroti tantangan besar yang dihadapi tim keamanan aplikasi,” kata Eran Orzel, direktur senior kesuksesan dan penjualan pelanggan Argon. “Sayangnya, sebagian besar tim kekurangan sumber daya, anggaran, dan pengetahuan untuk menangani serangan rantai pasokan. Selain itu, fakta bahwa untuk mengatasi vektor serangan ini, tim AppSec memerlukan kerja sama dari tim pengembangan dan DevOps, dan Anda dapat memahami mengapa ini sulit. tantangan untuk diatasi.”

Laporan tersebut mengidentifikasi tiga area tertentu dari risiko rantai pasokan. Penggunaan paket dengan kode sumber terbuka yang rentan, alat saluran pipa yang disusupi, dan pengunggahan kode yang buruk ke repositori kode sumber.

Kode sumber terbuka adalah bagian dari hampir semua perangkat lunak komersial dan banyak paket yang digunakan memiliki kerentanan dengan proses peningkatan ke versi yang lebih aman yang membutuhkan upaya dari tim pengembangan dan DevOps.

Penyerang dapat memanfaatkan akses istimewa, kesalahan konfigurasi, dan kerentanan dalam infrastruktur pipa CI/CD (seperti: sistem manajemen kode sumber, agen pembangunan, pendaftar paket, dan dependensi layanan), yang menyediakan akses ke infrastruktur TI penting, proses pengembangan, sumber kode dan aplikasi.

Pengunggahan kode buruk ke repositori kode sumber berdampak langsung pada kualitas artefak dan postur keamanan. Masalah umum di sini termasuk data sensitif dalam kode, kualitas kode dan masalah keamanan, infrastruktur sebagai masalah kode, kerentanan gambar wadah, dan kesalahan konfigurasi.

“Proses rantai pasokan perangkat lunak adalah komponen inti dari siklus hidup pengembangan aplikasi modern. Membiarkan vektor serangan yang luas ini terbuka, mengancam postur keamanan aplikasi perusahaan yang sangat rendah, berpotensi mengekspos data sensitif dan menciptakan titik masuk tambahan ke dalam aplikasi saat runtime,” tambah Orzel. “Dalam banyak kasus, tidak ada visibilitas tim keamanan ke dalam proses ini sampai terlambat, karena sebagian besar perusahaan tidak memiliki kemampuan pencegahan dalam alat dan proses CI/CD.”

Anda bisa mendapatkan whitepaper tentang mengamankan rantai pasokan perangkat lunak dari situs Argon.

Kredit Gambar: frank_peters/ Shutterstock

Author: Martha Meyer