حالة Software Supply Chain Security في عام 2024: نظرة خاطفة

مع اقتراب عام 2023 من نهايته، أصبح مشهد الأمن السيبراني مليئًا بالتقارير والتحليلات. ومن بينها، مراجعة الأمن السيبراني لعام 2023 لوكالة الأمن القومي لقد حظيت Xygeni باهتمام كبير. في هذا العام المضطرب، تهدف Xygeni إلى المساهمة في فهم وتخفيف التهديدات التي تتعرض لها سلسلة توريد البرامج. في عصر حيث التعقيد في البرامج ساحق، وصل اعتمادنا على مكونات مفتوحة المصدر وتطور DevSecOps والنهج السحابية الأصلية إلى مستويات جديدة. هذه لمحة سريعة عن تقرير زيجيني يقدم نظرة ثاقبة للتحديات الرئيسية التي يواجهها software supply chain security في عام 2023 ويقترح استراتيجيات لمعالجتها في عام 2024.

جدول المحتويات

شبكة معقدة من Software Supply Chain Security

في الحالة الراهنة لل SSCSتلوح التهديدات السيبرانية في الأفق، مما يثير مخاوف كبيرة للشركات والأفراد على حد سواء. وقد أدى تزايد العمل عن بُعد والاعتماد المتزايد على الخدمات السحابية إلى توسيع نطاق الهجمات، مما يجعل حماية سلسلة توريد البرمجيات تحديًا أكبر. ويتضح تدريجيًا في قطاع البرمجيات أن سلسلة التوريد أصبحت ناقلًا متعمدًا للهجمات. وتطرح الأسئلة التالية: كيف نؤمّن هذه الشبكة المعقدة؟ هل يمكننا الوثوق بالبرمجيات من مجتمعات المصادر المفتوحة والمزودين التجاريين؟ كيف يمكن للمؤسسات أن تغرس الثقة لدى مستهلكي برمجياتها فيما يتعلق بغياب الثغرات الأمنية أو البرامج الضارة؟

ما سيكشفه تقرير Xygeni

يهدف تقرير Xygeni إلى تسليط الضوء على الأحداث والاتجاهات التي حددت software supply chain security في عام 2023، يقدم لمحة أولية عما قد يحمله عام 2024. وسيغطي التقرير:

أبرز الأحداث: "بالأرقام"

يُطلق عليه عام "حرائق الغابات الرقمية"شهد عام 2023 حوادث تصدرت عناوين الأخبار، بما في ذلك تلك التي أثرت على PyTorch و3CX وMOVEit Transfer. والحقيقة المروعة هي أن 82 ٪ من المنظمات تتعرض حاليًا أنظمة سلاسل التوريد للبرمجيات لهجمات، حيث يزداد متوسط ​​عدد المكونات المعرضة للخطر في سلسلة التوريد بنسبة تزيد عن 50% سنويًا. وذكرت شركة NTT Ltd أن قطاع التكنولوجيا هو القطاع الأكثر استهدافًا، حيث يمثل 28% من جميع هجمات سلاسل التوريد.

برمجيات مفتوحة المصدر، تتألف من 70% إلى 90% من مجموعات التطبيقات المعاصرةتواجه شركة مايكروسوفت زيادة في عدد الحزم الضارة على السجلات العامة - وهو رقم مذهل يصل إلى 245,032 حالة، وهو ضعف الأرقام المسجلة في السنوات السابقة.

مشهد الهجوم

في عام 2023، كانت الهجمات الإلكترونية في تزايد، مع وكالة الاتحاد الأوروبي للأمن السيبراني سجلت المنظمة 2,580 حادثة أمنية، 220 منها استهدفت بشكل خاص دول أعضاء متعددة. وكانت هجمات الفدية وهجمات رفض الخدمة هي السائدة، ولكن لوحظت أيضًا هجمات مستهدفة على سلسلة توريد البرامج. والجدير بالذكر أن روبوتات الدردشة التي تعمل بالذكاء الاصطناعي دخلت مجال تهديدات الأمن السيبراني، مما أثار مخاوف بشأن "التزييف الرخيص" والتلاعب بالمعلومات باستخدام الذكاء الاصطناعي.

تقنيات الهجوم في عام 2023

واصل المهاجمون الاستفادة من التقنيات المألوفة مثل التصيد الاحتيالي والهندسة الاجتماعية وسرقة بيانات الاعتماد وهجمات التبعية مثل حزم typosquat. ومع ذلك، شهد عام 2023 ارتفاعًا في الأساليب المتطورة، بما في ذلك vishing (التصيد الصوتي) باستخدام رسائل تحاكي الصوت يتم إنشاؤها بواسطة الذكاء الاصطناعي. وصلت الحزم الضارة التي تم نشرها في السجلات العامة إلى 245,032 حالة، وهو رقم مثير للقلق، مما يؤكد الحاجة إلى تدابير وقائية قوية.

الجهات الفاعلة في مجال التهديد المتقدم

لقد أثرت الجغرافيا السياسية على العمليات السيبرانية، حيث انخرطت مجموعات التهديدات المتقدمة المستمرة المدعومة من الدولة في التضليل والتجسس والتخريب. وأصبحت الحرب الأوكرانية نقطة محورية، حيث سلطت الضوء على العمليات السيبرانية التي نفذتها جهات فاعلة روسية وإيرانية وكورية شمالية. كما عززت الصين مكانتها كقوة سيبرانية عالمية، في حين استمرت الجرائم السيبرانية في التطور، كما تجسد ذلك في استهداف منظمة غير حكومية دولية من قبل مجموعة Evasive Panda الصينية.

عند تحويل تركيزنا إلى الصراعات الأخيرة، فإن المواجهة الإلكترونية بين حماس وإسرائيل تضمنت هجمات DDoS متبادلة. يربط بعض المحللين حماس بنشاط التهديد الإيراني. كانت مجموعة APT Agrius المرتبطة بإيران، والمعروفة أيضًا باسم "Agonizing Serpens"، سيئة السمعة ببرمجياتها التدميرية، تستهدف بشكل أساسي المنظمات الإسرائيلية في مختلف القطاعات والبلدان. ​​في عام 2023، ركزت جهود Agrius على قطاعي التعليم والتكنولوجيا في إسرائيل.

تأثير الهجمات

لقد تفوق التأثير الرقمي للهجمات الإلكترونية، مثل إتلاف الأنظمة وإفساد البيانات والاختراقات، على التأثيرات المالية والاجتماعية. استطلاع رأي Splunk سلط الضوء على الوقت والموارد الكبيرة التي تم إنفاقها على التنظيف، حيث أفاد 4% فقط من المستجيبين بعدم وجود عواقب كبيرة.

ملخص الهجمات ذات الصلة في عام 2023

شهد العام هجمات نموذجية، بما في ذلك هجوم InfoStealer الليلي من PyTorch، وحادث CircleCI، وهجوم 3CX متعدد الخطوات، واختراق بيانات MOVEit Transfer، وتعليق PyPI المؤقت، وNPM Manifest Confusion، وهجوم JumpCloud، وحملة VMConnect. وقد أبرز كل حادث الطبيعة المتنوعة والمتطورة لهجمات SSC.

تطور Standardاللوائح والأنظمة

إن الإطار التنظيمي لـ SSC قيد الإنشاء. ومع اختلافات كبيرة في الشدة بين المناطق، يبدو أن الولايات المتحدة لديها الإطار الأكثر نضجًا، في حين يتخلف الاتحاد الأوروبي. الاستراتيجية الوطنية للأمن السيبراني و مبادئ السلوك خارطة طريق لأمن البرمجيات مفتوحة المصدر كانت الأحداث الرئيسية في الولايات المتحدة. وفي الاتحاد الأوروبي، توصل قانون المرونة السيبرانية إلى اتفاق سياسي، لكن معظم المنظمات عملت على توجيه NIS2 وقانون المرونة التشغيلية الرقمية (DORA).  

ربما كان الحدث الأكثر أهمية على مستوى العالم هو الدليل المشترك تغيير توازن مخاطر الأمن السيبراني: المبادئ والأساليب اللازمة للبرمجيات الآمنة من خلال التصميم مدفوع من CISوانضم إليه العديد من مسؤولي الأمن السيبراني في جميع أنحاء العالم.

لمحة إلى عام 2024

يقدم التقرير بعض التوقعات: بحلول عام 2025، ستتعرض 45% من المنظمات في جميع أنحاء العالم لهجوم واحد على الأقل على أمن الإنترنت. وسنرى جماعات الجريمة المنظمة تنخرط في جرائم الإنترنت، مستفيدة من عروض الجرائم الإلكترونية كخدمة الأكثر نضجًا. وستعمل اللوائح التي تدخل حيز التنفيذ خلال العام على تحسين الشفافية بشأن حوادث الأمن، مع الكشف عن المزيد من تفاصيل الهجوم والدروس المستفادة. وسوف يظهر التأمين ضد المخاطر السيبرانية حدودًا وتجاوزات. وسوف تتماشى التطورات التكنولوجية مع الأمن حسب التصميم الاتجاه، مع المزيد من العبء على جانب الشركات المصنعة للبرمجيات.

لقد اجتذبت موجة الذكاء الاصطناعي العديد من بائعي الأمن خلال عام 2023 لإضافة بعض "لمسة الذكاء الاصطناعي" إلى منتجاتهم. ومع ذلك، من المقرر أن يلعب الذكاء الاصطناعي دورًا حاسمًا في مستقبل software supply chain securityستلعب الذكاء الاصطناعي دورًا متزايدًا في مجالات مثل استخبارات التهديد وتقييم المخاطر، واكتشاف الشذوذ في مستودعات التعليمات البرمجية، وتقييم نقاط الضعف وتحديد الأولويات، التصيد مهاجمة كشف، ولكن بشكل رئيسي في المعالجة الذكية وأتمتة مراجعة التعليمات البرمجية.

لكن الجهات السيئة بدأت في تسليح الذكاء الاصطناعي، وسنرى تقنيات جديدة مثل الاستطلاع المدعوم بالذكاء الاصطناعي، والهجمات المقنعة للغاية التصيد، أدوات الذكاء الاصطناعي لكسر الحماية، أو خدمات حل CAPTCHA.  

خاتمة

بينما تستعد شركة Xygeni للكشف عن تقريرها الشامل عن حالة software supply chain security في عام 2023، أصبحت التحديات والتهديدات التي تواجه الصناعة واضحة. فقد أصبحت سلسلة توريد البرمجيات، التي كانت تعتبر في السابق عملية خلف الكواليس، هدفًا رئيسيًا للمعارضين السيبرانيين. وسوف تشكل استجابة الصناعة لهذه التحديات مسار أمن البرمجيات في السنوات القادمة. ترقبوا التقرير الكامل حيث نتعمق في التفاصيل ونقدم رؤى يمكن أن تساعد في التنقل عبر المشهد المعقد لأمن البرمجيات. software supply chain security.

أدوات تحليل التركيبات البرمجية sca
إعطاء الأولوية للمخاطر التي تتعرض لها برامجك، ومعالجتها، وتأمينها
احصل على حسابك المجاني.
أي بطاقة ائتمان.

قم بتأمين تطوير البرامج الخاصة بك وتسليمها

مع مجموعة منتجات Xygeni