Yeni araştırma, birçok başarılı yüksek profilli olaya ve farkındalıktaki artışa rağmen, birçok işletmenin tedarik zinciri siber saldırılarına karşı savunmaya ne yazık ki hazırlıksız olduğunu buldu.
Venafi tarafından 1.000 CIO’nun katıldığı bir anket, yanıt verenlerin %82’sinin yazılım tedarik zincirlerini hedef alan siber saldırılara karşı savunmasız kalacaklarını belirtti.
Raporda, Covid-19 pandemisi ve artan gelişme hızından bu yana (DevOps gibi teknolojiler sayesinde), tedarik zincirini güvence altına almak çok daha karmaşık bir görev haline geldi. Yazılım mühendislerinin davranış şekli de yardımcı olmuyor. Neredeyse on CIO’dan dokuzu (%87), yazılım mühendisleri ve geliştiricilerinin yeni ürün ve hizmetleri daha hızlı pazara sunmak için güvenlik politikaları ve kontrollerinden ödün verdiğine inanıyor.
Güvenliğin iyileştirilmesi
Sonuç olarak, işletmeler SolarWinds veya Kaseya gibi olaylarla daha savunmasız hale geliyor ve bu iddiayı doğruluyor. Daha önceki tedarik zinciri saldırılarının başarısının, siber dolandırıcıları uygulamaya daha fazla zaman ve kaynak ayırmaya daha da motive ettiği söylendi.
Bununla birlikte, CEO’ların bu tür tehditleri dikkate aldığı görülüyor ve rapora göre CIO’ların %85’ine şefler tarafından “yazılım oluşturma ve dağıtım ortamlarının güvenliğini iyileştirme” talimatı verildi. Aynı zamanda, %84’ü yazılım geliştirme ortamlarının güvenliğine ayrılan bütçenin son 12 ayda arttığını söyledi.
Venafi’nin tehdit istihbaratı ve iş geliştirmeden sorumlu başkan yardımcısı Kevin Bocek, “Bilgisayar korsanları, özellikle makine kimliklerini hedefleyen başarılı tedarik zinciri saldırılarının son derece verimli ve daha karlı olduğunu keşfettiler” dedi.
Bocek, tedarik zinciri saldırılarının bu kadar başarılı olmasının nedenlerinden birinin, geliştiricilerin yeniliği ve hızı zorlaması ve güvenliği arka koltuğa koyması olduğuna inanıyor. “Maalesef güvenlik ekipleri, geliştiricilerin bu sorunları çözmesine yardımcı olacak bilgiye veya kaynaklara nadiren sahip oluyor ve CIO’lar bu zorlukların yeni farkına varıyor” diye ekledi.
Venafi, bu zorlukların üstesinden gelmek için çoğu CIO’nun (%68) ek güvenlik kontrolleri uyguladığını ve %57’sinin inceleme süreçlerini güncellediğini tespit etti. Yarısından biraz fazlası (%56) kod imzalama kullanımlarını genişletirken, %47’si açık kaynak kitaplıklarının kaynağına bakıyor.