Según una reciente encuesta elaborada por Anchore, más de tres de cada cinco empresas fueron objetivo de ataques a la cadena de suministro a lo largo del pasado año. Además, se detecta un salto significativo en los ataques a la cadena de suministro de software, especialmente después de la exposición de Log4j.
En medio de los continuos ciberataques de seguridad, la cadena de suministro se vio afectada de forma muy especial por los ciberdelincuentes el pasado año. Así lo constata la encuesta realizada por Anchore a 428 ejecutivos, directores y responsables de TI, seguridad, desarrollo y DevOps que pone de manifiesto que casi el 30% de las organizaciones de los responsables encuestados, sufrieron de manera más o menos significativa un ataque a la cadena de suministro de software.
Solo el 6%de los participantes en este estudio ha manifestado que los ataques tuvieron un impacto menor en su cadena de suministro de software. No obstante, hay que tener en cuenta que la encuesta se realizó coincidiendo con las fechas en las que fue detectada la vulnerabilidad en Apache Log4 el pasado 9 de diciembre.
Antes de esa fecha, el 55% por ciento de los encuestados manifestaron que habían sufrido un ataque a la cadena de suministro de software, pero en los días posteriores, el porcentaje ascendió hasta un 65% tal y como destaca Kim Weins, vicepresidenta sénior de Anchore.
«Eso significa que había gente nueva que no había experimentado un ataque a la cadena de suministro antes de Log4j, y que había gente que había experimentado un ataque anterior pero que veía un impacto más fuerte después de Log4j».
Las tecnológicas, las más afectadas por los ataques a la cadena de suministro
Otro de los hallazgos más destacados de la encuesta es que las empresas de tecnología se han visto significativamente más afectadas por los ataques a la cadena de suministro de software, en un 15%, en comparación con otras industrias, que lo han hecho en un 3%.
La seguridad de la cadena de suministro también parece estar en el punto de mira de muchas organizaciones, y un 54% la considera como un área crucial. El interés entre los usuarios maduros de contenedores fue aún mayor, ya que el 70% manifiesta que la seguridad de la cadena de suministro es un enfoque prioritario o importante para ellos.
Si bien proteger la cadena de suministro de software parece ser lo más importante para muchos de los encuestados, la encuesta también pone de relevancia que pocas organizaciones están incorporando listas de materiales de software (SBOM) en sus estrategias de seguridad. Por ejemplo, menos de una tercera parte de los encuestados siguen las mejores prácticas de SBOM y solo el 18% tiene un SBOM completo para todas sus aplicaciones.
SBOM será crucial en 2022 para verificar la seguridad
Desde Anchore apuntan que esto es un aspecto fundamental a tener muy en cuenta a la hora de asegurar la cadena de suministro de software ya que aporta la visibilidad de qué software es el que realmente se está utilizando.
Además, SBOM también puede ayudar a acelerar el tiempo de respuesta de un equipo de seguridad cuando se descubren vulnerabilidades ya que, sin esta información, el plazo ce tiempo para reparar esas vulnerabilidades puede extenderse durante meses, o incluso años.
Por eso desde Anchore apuntan que SBOM será crucial este 2022 ya que la seguridad del software empieza con la compresión de lo que se tiene. Por tanto, disponer de una lista completa de componentes es fundamental para usarla a la hora de verificar la seguridad antes de la entrega de software.
Imagen inicial | Reproductive Health Supplies Coalition
