Nu het jaar 2023 ten einde loopt, wordt het cybersecuritylandschap overspoeld met rapporten en analyses. NSA 2023 Cybersecurity Jaaroverzicht heeft de aandacht getrokken. Xygeni wil in dit tumultueuze jaar bijdragen aan het begrijpen en beperken van bedreigingen voor de softwaretoeleveringsketen. In een tijdperk waarin softwarecomplexiteit overweldigend is, hebben onze afhankelijkheid van open-sourcecomponenten en de evolutie van DevSecOps en cloud-native benaderingen nieuwe hoogten bereikt. Deze sneak peek in Xygeni's rapport biedt inzicht in de belangrijkste uitdagingen waarmee software supply chain security in 2023 en biedt strategieën om deze in 2024 aan te pakken.
Inhoudsopgave
Het complexe web van Software Supply Chain Security
In de huidige stand van zaken van de SSCSCyberdreigingen nemen een grote vlucht en vormen een grote zorg voor zowel bedrijven als particulieren. De toename van thuiswerken en de toegenomen afhankelijkheid van cloudgebaseerde diensten hebben het aanvalsoppervlak vergroot, waardoor de beveiliging van de softwaretoeleveringsketen een nog grotere uitdaging is geworden. Het besef dat de toeleveringsketen een doelbewuste aanvalsvector is geworden, dringt langzaam door tot de software-industrie. Vragen rijzen: hoe beveiligen we dit complexe web? Kunnen we software van zowel opensourcecommunity's als commerciële aanbieders vertrouwen? Hoe kunnen organisaties hun softwaregebruikers vertrouwen in de afwezigheid van kwetsbaarheden of malware?
Wat het rapport van Xygeni zal onthullen
Het rapport van Xygeni wil licht werpen op de gebeurtenissen en trends die de afgelopen jaren hebben gekenmerkt software supply chain security in 2023 en biedt een eerste blik op wat 2024 zou kunnen brengen. Het rapport behandelt:
Hoogtepunten: “In cijfers”
Het jaar van 'digitale bosbranden',' 2023 was getuige van incidenten die de krantenkoppen haalden, waaronder die met betrekking tot PyTorch, 3CX en MOVEit Transfer. De grimmige realiteit is dat 82% van de organisaties Zijn momenteel kwetsbaar voor aanvallen op software-toeleveringsketens. Het gemiddelde aantal kwetsbare componenten in een toeleveringsketen neemt jaarlijks met meer dan 50% toe. NTT Ltd meldt dat de technologiesector de meest aangevallen sector is, goed voor 28% van alle aanvallen op toeleveringsketens.
Open source software, bestaande uit 70% tot 90% van de hedendaagse applicatiestapels, kampt met een toename van schadelijke pakketten in openbare registers: een duizelingwekkende 245,032 gevallen, een verdubbeling van de cijfers uit voorgaande jaren.
Het aanvalslandschap
In 2023 namen cyberaanvallen toe, met de EU-agentschap voor cyberbeveiliging Er werden 2,580 beveiligingsincidenten geregistreerd, waarvan 220 specifiek gericht waren op meerdere lidstaten. Ransomware en denial-of-service-aanvallen domineerden, maar er werden ook gerichte aanvallen op de softwaretoeleveringsketen waargenomen. Met name AI-chatbots maakten hun intrede in het cyberbeveiligingslandschap, wat leidde tot zorgen over 'goedkope vervalsingen' en AI-gestuurde manipulatie van informatie.
Aanvalstechnieken in 2023
Aanvallers bleven gebruikmaken van bekende technieken zoals spearphishing en social engineering, gestolen inloggegevens en afhankelijkheidsaanvallen zoals typosquat-pakketten. In 2023 zagen we echter een toename in geavanceerde methoden, waaronder visen (Voice Phishing) maakt gebruik van door AI gegenereerde berichten die stemmen nabootsen. Het aantal kwaadaardige pakketten in openbare registers bereikte een alarmerend aantal van 245,032, wat de noodzaak van robuuste preventieve maatregelen onderstreept.
Geavanceerde dreigingsactoren
Geopolitiek beïnvloedde cyberoperaties, waarbij door de staat gesteunde APT's zich bezighielden met desinformatie, spionage en sabotage. De oorlog in Oekraïne werd een centraal punt, met cyberoperaties door Russische, Iraanse en Noord-Koreaanse actoren. China verstevigde zijn positie als wereldwijde cybermacht, terwijl cybercriminaliteit zich bleef ontwikkelen, zoals blijkt uit China's Evasive Panda, die zich richtte op een internationale ngo.
Laten we ons richten op recente conflicten: de cyberconfrontatie tussen Hamas en Israël ging gepaard met wederzijdse DDoS-aanvallen. Sommige analisten brengen Hamas in verband met Iraanse dreigingsactiviteiten. De aan Iran gelieerde APT Agrius, ook bekend als "Agonizing Serpens", berucht om zijn vernietigende wipers, richt zich voornamelijk op Israëlische organisaties in verschillende sectoren en landen. In 2023 concentreerden de inspanningen van Agrius zich op de onderwijs- en technologiesector in Israël.
Impact van aanvallen
De digitale impact van cyberaanvallen, zoals beschadigde systemen, datacorruptie en inbraken, was groter dan de financiële en sociale impact. Splunk's enquête Er werd benadrukt hoeveel tijd en middelen er werden besteed aan het opruimen. Slechts 4% van de respondenten gaf aan dat er geen noemenswaardige gevolgen waren.
Overzicht van relevante aanvallen in 2023
Het jaar was getuige van paradigmatische aanvallen, waaronder de nachtelijke InfoStealer van PyTorch, het CircleCI-incident, de 3CX-multi-step-aanval, het datalek van MOVEit Transfer, de tijdelijke opschorting van PyPI, de NPM Manifest Confusion, de JumpCloud-aanval en de VMConnect-campagne. Elk incident onderstreepte de diverse en evoluerende aard van SSC-aanvallen.
Evolutie van Standards en voorschriften
Het regelgevingskader voor de SSC is in ontwikkeling. Met sterk uiteenlopende intensiteiten per regio lijkt het erop dat de VS het meest volwassen kader heeft, terwijl de Europese Unie achterblijft. De publicatie van de Nationale Cybersecurity Strategie en Open Source Software Beveiligingsroutekaart waren de belangrijkste gebeurtenissen in de VS. In de EU werd een politiek akkoord bereikt over de Cyber Resilience Act, maar de meeste organisaties werkten aan de NIS2-richtlijn en de Digital Operational Resilience Act (DORA).
Misschien wel de meest betekenisvolle gebeurtenis wereldwijd was de gezamenlijke gids Het verschuiven van de balans van cyberbeveiligingsrisico's: principes en benaderingen voor Secure by Design-software geleid door CISA en vele cyberbeveiligingsautoriteiten over de hele wereld sluiten zich bij hen aan.
Een blik op 2024
Het rapport doet enkele voorspellingen: tegen 2025 zal 45% van de organisaties wereldwijd te maken krijgen met ten minste één SSC-aanval. We zullen zien dat georganiseerde criminele groepen zich bezighouden met cybercriminaliteit en daarbij gebruikmaken van volwassener Cybercrime-as-a-Service-diensten. Regelgeving die in de loop van het jaar van kracht wordt, zal de transparantie over beveiligingsincidenten verbeteren, met meer details over aanvallen en de lessen die zijn geleerd. Cyberrisicoverzekeringen zullen grenzen en excessen blootleggen. En technologische ontwikkelingen zullen aansluiten bij de beveiliging door ontwerp trend, met meer lasten voor de softwarefabrikanten.
De AI-golf trok in 2023 veel beveiligingsleveranciers aan om hun producten een "AI-touch" te geven. Niettemin zal AI een cruciale rol spelen in de toekomst van software supply chain securityAI zal een steeds grotere rol spelen op gebieden als threat intelligence en risicobeoordeling, anomaliedetectie in coderepositories, kwetsbaarheidsbeoordeling en prioritering, en Phishing aanvallen opsporing, maar vooral in intelligente oplossingen en automatisering van codebeoordelingen.
Maar kwaadwillenden zijn AI gaan gebruiken als wapen, en we zullen nieuwe technieken zien zoals AI-aangedreven verkenning, zeer overtuigende speerwerpers en andere kunstmatige intelligentietechnieken. Phishing, AI-jailbreakhulpmiddelen of CAPTCHA-oplosserservices.
Conclusie
Terwijl Xygeni zich voorbereidt om zijn uitgebreide rapport over de staat van software supply chain security In 2023 zijn de uitdagingen en bedreigingen voor de sector duidelijk. De softwaretoeleveringsketen, ooit beschouwd als een proces achter de schermen, is uitgegroeid tot een belangrijk doelwit voor cybercriminelen. De reactie van de sector op deze uitdagingen zal de koers van softwarebeveiliging in de komende jaren bepalen. Blijf op de hoogte voor het volledige rapport, waarin we dieper ingaan op de details en inzichten bieden die kunnen helpen bij het navigeren door het complexe landschap van software supply chain security.
