По мере приближения конца 2023 года ландшафт кибербезопасности пестрит отчетами и анализами. Среди них Обзор года кибербезопасности АНБ 2023 привлекла внимание. В этом бурном году Xygeni стремится внести вклад в понимание и смягчение угроз в цепочке поставок программного обеспечения. В эпоху, когда сложность программного обеспечения становится подавляющей, наша зависимость от компонентов с открытым исходным кодом и развитие DevSecOps и облачных подходов достигли новых высот. Этот краткий обзор Отчет Xygeni дает представление о ключевых проблемах, с которыми сталкиваются software supply chain security в 2023 году и предлагает стратегии по их решению в 2024 году.
Содержание
Сложная сеть Software Supply Chain Security
В нынешнем состоянии SSCSКиберугрозы приобретают угрожающие масштабы, представляя серьёзную проблему как для компаний, так и для частных лиц. Резкий рост удалённой работы и возросшая зависимость от облачных сервисов расширили поверхность атак, сделав защиту цепочки поставок программного обеспечения ещё более серьёзной проблемой. В индустрии программного обеспечения постепенно приходит осознание того, что цепочка поставок стала объектом преднамеренных атак. Возникают вопросы: как защитить эту сложную сеть? Можно ли доверять программному обеспечению как от сообществ разработчиков ПО с открытым исходным кодом, так и от коммерческих поставщиков? Как организации могут убедить потребителей своего программного обеспечения в отсутствии уязвимостей и вредоносных программ?
Что раскроет отчет Xygeni
Отчет Xygeni призван пролить свет на события и тенденции, которые определили software supply chain security в 2023 году и предлагает первый взгляд на то, что может принести 2024 год. Отчет будет охватывать:
Основные моменты: «По цифрам»
Названный годом «цифровые лесные пожары»,' 2023 год стал свидетелем громких инцидентов, включая те, которые затронули PyTorch, 3CX и MOVEit Transfer. Мрачная реальность заключается в том, что 82% организаций в настоящее время уязвимы для атак на цепочки поставок программного обеспечения, при этом среднее количество уязвимых компонентов в цепочке поставок увеличивается более чем на 50% ежегодно. NTT Ltd сообщает, что технологический сектор является наиболее целевой отраслью, на которую приходится 28% всех атак на цепочки поставок.
Программное обеспечение с открытым исходным кодом, включающее 70–90 % современных стеков приложений, столкнулся с резким ростом числа вредоносных пакетов в публичных реестрах — ошеломляющее число в 245,032 XNUMX случая, что вдвое превышает показатели предыдущих лет.
Ландшафт атаки
В 2023 году количество кибератак возросло, при этом Агентство ЕС по кибербезопасности зафиксировано 2,580 инцидентов безопасности, 220 из которых были направлены против нескольких государств-членов. Доминировали атаки с использованием программ-вымогателей и отказ в обслуживании, но также наблюдались целевые атаки на цепочку поставок программного обеспечения. В частности, чат-боты на основе ИИ вошли в ландшафт угроз кибербезопасности, вызвав опасения по поводу «дешевых подделок» и манипуляции информацией с помощью ИИ.
Методы атак в 2023 году
Злоумышленники продолжали использовать знакомые методы, такие как фишинг и социальная инженерия, кража учетных данных и атаки на зависимости, такие как пакеты typosquat. Однако в 2023 году наблюдался рост числа сложных методов, включая Вишинг (Голосовой фишинг) с использованием сообщений, имитирующих голос, сгенерированных ИИ. Вредоносные пакеты, размещенные в публичных реестрах, достигли тревожного числа в 245,032 XNUMX случая, что подчеркивает необходимость принятия надежных превентивных мер.
Продвинутые субъекты угроз
Геополитика повлияла на кибероперации, когда поддерживаемые государством APT занимались дезинформацией, шпионажем и саботажем. Украинская война стала центром внимания, продемонстрировав кибероперации российских, иранских и северокорейских субъектов. Китай укрепил свои позиции в качестве глобальной кибердержавы, в то время как киберпреступность продолжала развиваться, примером чего является китайская Evasive Panda, нацеленная на международную НПО.
Обращая внимание на недавние конфликты, киберконфронтация между ХАМАС и Израилем включала взаимные DDoS-атаки. Некоторые аналитики связывают ХАМАС с иранской деятельностью по угрозам. Связанная с Ираном APT Agrius, также известная как «Agonizing Serpens», печально известная своими разрушительными стирателями, в основном нацелена на израильские организации в различных секторах и странах. В 2023 году усилия Agrius были сосредоточены на секторах образования и технологий в Израиле.
Влияние атак
Цифровые последствия кибератак, такие как повреждение систем, повреждение данных и вторжения, перевешивают финансовые и социальные последствия. Опрос Splunk подчеркнули значительные затраты времени и ресурсов на очистку, при этом только 4% респондентов сообщили об отсутствии существенных последствий.
Сводка соответствующих атак в 2023 году
В этом году произошли парадигматические атаки, включая PyTorch nightly InfoStealer, инцидент CircleCI, многошаговую атаку 3CX, утечку данных MOVEit Transfer, временную приостановку PyPI, NPM Manifest Confusion, атаку JumpCloud и кампанию VMConnect. Каждый инцидент подчеркивал разнообразную и развивающуюся природу атак SSC.
Эволюция Standardи правила
Нормативная база для SSC находится в стадии разработки. При сильной разнице в интенсивности в разных регионах, похоже, что у США самая зрелая база, а Европейский союз отстает. Публикация Национальная стратегия кибербезопасности и План безопасности программного обеспечения с открытым исходным кодом были основными событиями в США. В ЕС Закон о киберустойчивости достиг политического соглашения, но большинство организаций работали над директивой NIS2 и Законом о цифровой операционной устойчивости (DORA).
Пожалуй, самым значимым событием мирового масштаба стало совместное руководство Изменение баланса рисков кибербезопасности: принципы и подходы к программному обеспечению, защищенному по умолчанию во главе с CISК нему присоединились многие специалисты по кибербезопасности по всему миру.
Взгляд в 2024 год
В отчете приводятся некоторые прогнозы: к 2025 году 45% организаций по всему миру испытают по крайней мере одну атаку SSC. Мы увидим организованные преступные группы, занимающиеся киберпреступностью, используя более зрелые предложения Cybercrime-as-a-Service. Вступающие в силу в течение года правила повысят прозрачность инцидентов безопасности, с раскрытием большего количества подробностей атак и извлеченных уроков. Страхование киберрисков покажет пределы и излишества. А технологические достижения будут соответствовать безопасность по дизайну тенденция, при которой все большее бремя ложится на производителей программного обеспечения.
Волна ИИ привлекла многих поставщиков безопасности в 2023 году, чтобы добавить немного «ИИ-прикосновения» к своим продуктам. Тем не менее, ИИ будет играть решающую роль в будущем software supply chain security. ИИ будет играть все большую роль в таких областях, как анализ угроз и оценка рисков, обнаружение аномалий в репозиториях кода, оценка уязвимостей и расстановка приоритетов, а также фишинг атаковать обнаружение, но в основном в области интеллектуального исправления и автоматизации проверки кода.
Но злоумышленники начали использовать ИИ в качестве оружия, и мы увидим новые технологии, такие как разведка с использованием ИИ, очень убедительные копья фишинг, инструменты для взлома ИИ или сервисы решения CAPTCHA.
Заключение
В то время как Xygeni готовится представить свой всеобъемлющий отчет о состоянии software supply chain security в 2023 году проблемы и угрозы, с которыми сталкивается отрасль, очевидны. Цепочка поставок программного обеспечения, которая когда-то считалась закулисным процессом, превратилась в главную цель для киберпреступников. Ответ отрасли на эти проблемы определит траекторию безопасности программного обеспечения в ближайшие годы. Оставайтесь с нами для получения полного отчета, поскольку мы углубляемся в детали и предоставляем идеи, которые могут помочь ориентироваться в сложном ландшафте software supply chain security.
