Logo Computerworld University

El lenguaje de la tecnología

Escudo Computerworld University

Los ataques a la cadena de suministro de software afectarán a tres de cada cinco empresas en 2021

Una encuesta revela un aumento significativo de los ataques a la cadena de suministro de software tras la exposición de Log4j.

camion
Más de tres de cada cinco empresas fueron objeto de ataques a la cadena de suministro de software en 2021, según una encuesta reciente de Anchore. La encuesta de 428 ejecutivos, directores y gerentes de TI, seguridad, desarrollo y DevOps encontró que las organizaciones de casi un tercio de los encuestados (30%) se vieron afectadas de manera significativa o moderada por un ataque a la cadena de suministro de software en 2021. Sólo el 6% dijo que los ataques tuvieron un impacto menor en su cadena de suministro de software.
 
La encuesta coincidió con el descubrimiento de la vulnerabilidad encontrada en la utilidad Apache Log4. Los investigadores realizaron la encuesta del 3 al 30 de diciembre de 2021. Log4j se reveló el 9 de diciembre. Antes de esa fecha, el 55% de los encuestados dijo haber sufrido un ataque a la cadena de suministro de software. Después de esa fecha, esa cifra se disparó al 65%.
 
"Eso significa que había gente nueva que no había sufrido un ataque a la cadena de suministro antes de Log4j, y que había gente que había sufrido un ataque anterior pero que veía un impacto más fuerte después de Log4j", dice Kim Weins, vicepresidente senior de Anchore.
 

Las empresas tecnológicas se ven más afectadas por los ataques a la cadena de suministro de software

 
La encuesta también reveló que un mayor número de empresas tecnológicas se vio significativamente afectadas por los ataques a la cadena de suministro de software (15%), en comparación con otras industrias (3%). "Las empresas tecnológicas crean potencialmente un retorno de la inversión para los malos actores", dice Wein. "Si un atacante puede entrar en un producto de software y ese producto de software se entrega a miles de otras personas, ahora tienen un punto de apoyo en miles de otras empresas".
 
La seguridad de la cadena de suministro también parece estar acaparando la atención de muchas organizaciones, ya que el 54% de los encuestados la considera un área de interés principal o importante. El interés entre los usuarios maduros de contenedores fue incluso mayor, con un 70% que declaró que la seguridad de la cadena de suministro era un área de atención principal o significativa para ellos.
 
"El número de dependencias a las que hay que prestar atención aumenta con los contenedores y las implantaciones nativas en la nube", afirma Weins. "Así que, a medida que la gente madura con los contenedores, reconocen que tienen que prestar atención a todas esas superficies de ataque adicionales creadas por esas dependencias".
 

El SBOM es fundamental para asegurar la cadena de suministro de software

 
Aunque la protección de la cadena de suministro de software parece ser lo más importante para muchos de los encuestados, según el informe, pocos están incorporando listas de materiales de software (SBOM) en sus posturas de seguridad. Por ejemplo, menos de un tercio de los encuestados sigue las mejores prácticas de SBOM y sólo el 18% tiene una SBOM completa para todas sus aplicaciones.
 
"Creemos que el SBOM es una base fundamental para asegurar la cadena de suministro de software, ya que le proporciona la visibilidad de qué software está utilizando realmente", indica Weins.
 
Un SBOM también puede ayudar a acelerar el tiempo de respuesta de un equipo de seguridad cuando se descubren vulnerabilidades. "Sin un SBOM, el plazo para solucionar esas vulnerabilidades puede alargarse hasta meses o años", señala Sounil Yu, CISO de JupiterOne, una empresa de soluciones de gestión de activos y gobernanza.
 
"Sin los SBOM, los clientes invierten en soluciones de caja negra, lo que resulta en una falta de conocimiento de todos los componentes utilizados en un producto o servicio", añade Rick Holland, CISO de Digital Shadows, un proveedor de soluciones de protección de riesgos digitales.
 
Weins sostiene que el SBOM va a ser una obligación para 2022. "Se está convirtiendo en algo obvio para todo el mundo que la seguridad del software comienza con la comprensión de lo que se tiene —una lista completa de componentes— y luego se utiliza para comprobar la seguridad antes de entregar el software. Luego hay que supervisar continuamente la seguridad del software después de que se haya desplegado".


Últimas Noticias



Registro:

Eventos: