- Il 65% delle organizzazioni ha subito attacchi alla supply chain nell'ultimo anno
- L'adozione della GenAI aggrava i rischi; solo il 24% analizza il codice generato dall'IA per problemi di sicurezza o proprietà intellettuale
La supply chain del software, ovvero l'intera rete di componenti, strumenti e processi utilizzati per sviluppare, compilare e distribuire il software, si è evoluta in una nuova e popolarissima superficie di attacco. Ciò offre ai criminali informatici l'opportunità di aggirare le difese standard e ottenere vantaggi sproporzionati da una singola compromissione.
È quanto emerge da “Navigating Software Supply Chain Risk in a Rapid-Release World”, un nuovo report approfondito pubblicato dalla società di sicurezza applicativa Blackduck.
Basato su un sondaggio condotto su 540 leader della sicurezza software, il report afferma che due terzi (65%) delle organizzazioni hanno subito almeno un attacco alla supply chain negli ultimi 12 mesi. Per far fronte a queste minacce, le aziende devono implementare i migliori software per imprese e aziende che integrino protocolli di sicurezza avanzati.
La compliance è tutto
Questi incidenti stanno diventando sempre più sfaccettati: le organizzazioni segnalano dipendenze malevole (30%), vulnerabilità non patchate (28%), exploit zero-day (27%) e iniezioni di malware nelle pipeline di build (14%).
La velocità con cui l'intelligenza artificiale generativa (GenAI) viene adottata nelle imprese non fa che peggiorare le cose. Blackduck afferma che quasi tutte le organizzazioni (95%) sfruttano ora strumenti di IA per lo sviluppo software (principalmente ChatGPT), ma i protocolli di sicurezza non tengono il passo. La fiducia nello strumento è alta, mentre la verifica effettiva è allarmante bassa.
Infatti, solo un quarto (24%) delle organizzazioni analizza il codice generato dall'IA per aspetti quali proprietà intellettuale, licenze, sicurezza o rischi qualitativi. Il rapporto sostiene che ciò lasci ampio spazio a vulnerabilità nella supply chain, inclusa l'introduzione di IP protetta da copyright o l'esposizione di chiavi API sensibili. Per gestire queste operazioni in sicurezza, è consigliabile utilizzare i migliori notebook aziendali dotati di hardware dedicato alla protezione dei dati.
Per rafforzare le difese, è necessario valutare attentamente la conformità. Blackduck sostiene che, contrariamente alla credenza popolare, un approccio basato innanzitutto sulla compliance acceleri effettivamente i tempi di risposta della sicurezza.
Sembra esserci una chiara correlazione tra controlli di conformità robusti e velocità di remediation: il 54% delle organizzazioni che utilizzano almeno quattro tipi di controlli di conformità interviene sulle vulnerabilità critiche in modo significativamente più rapido rispetto al 45% del pool generale di intervistati. Inoltre, l'automazione appare imprescindibile. Affidarsi a un monitoraggio manuale periodico, come sta facendo circa il 36% degli intervistati, è ampiamente considerato insufficiente. Parallelamente, le organizzazioni che adottano un monitoraggio continuo automatico vengono descritte come "molto più efficaci".