Aumento de ataques cibernéticos dirigidos a proyectos de software de código abierto

Ha habido un aumento masivo del 430% en los ciberataques de próxima generación destinados a infiltrarse activamente en las cadenas de suministro de software de código abierto, según descubrió Sonatype. Según el informe, se registraron 929 ataques a la cadena de suministro de software de próxima generación desde julio de 2019 hasta mayo de 2020. En comparación, se registraron 216 […]

Ha habido un aumento masivo del 430% en los ciberataques de próxima generación destinados a infiltrarse activamente en las cadenas de suministro de software de código abierto, según descubrió Sonatype.

Según el informe, se registraron 929 ataques a la cadena de suministro de software de próxima generación desde julio de 2019 hasta mayo de 2020. En comparación, se registraron 216 ataques de este tipo en los cuatro años entre febrero de 2015 y junio de 2019.

La diferencia entre los ataques a la cadena de suministro de software de «próxima generación» y «heredados» es simple pero importante: los ataques de próxima generación como Octopus Scanner y electron-native-notifican son estratégicos e involucran a los malos actores intencionalmente apuntando y comprometiendo subrepticiamente el «upstream» proyectos de código abierto para que posteriormente puedan explotar las vulnerabilidades cuando inevitablemente fluyan «aguas abajo» hacia la naturaleza.

Por el contrario, los ataques de la cadena de suministro de software heredado como Equifax son tácticos e involucran a los malos actores que esperan que las nuevas vulnerabilidades de día cero se divulguen públicamente y luego compiten para aprovechar las ventajas en la naturaleza antes de que otros puedan remediar.

“Tras la notoria violación de Equifax de 2017, las empresas incrementaron significativamente las inversiones para evitar ataques similares en las cadenas de suministro de software de código abierto”, dijo Wayne Jackson, director ejecutivo de Sonatype.

“Nuestra investigación muestra que los equipos de ingeniería comercial se están volviendo más rápidos en su capacidad para responder a las nuevas vulnerabilidades de día cero. Por lo tanto, no debería sorprendernos que los ataques a la cadena de suministro de la próxima generación hayan aumentado un 430% a medida que los adversarios están cambiando sus actividades ‘hacia arriba’, donde pueden infectar un solo componente de código abierto que tiene el potencial de ser distribuido ‘hacia abajo’ donde puede estar. explotados estratégicamente y de forma encubierta».

La velocidad sigue siendo fundamental al responder a los ataques de la cadena de suministro de software heredado

Según el informe, los equipos de desarrollo de software empresarial difieren en sus tiempos de respuesta a las vulnerabilidades en los componentes de software de código abierto:

• 47% de las organizaciones se dieron cuenta de las nuevas vulnerabilidades de código abierto después de una semana.
  
• El 51% de las organizaciones tardaron más de una semana en remediar las vulnerabilidades de código abierto.

Los investigadores descubrieron que no todas las organizaciones dan prioridad a mejores prácticas de gestión de riesgos a expensas de la productividad de los desarrolladores. El informe de este año revela que los equipos de desarrollo de alto rendimiento son 26 veces más rápidos en la detección y reparación de vulnerabilidades de código abierto, e implementan frecuentemente 15 cambios en el código, lo que es más que sus pares.

Los de alto rendimiento también son:

• 59% más de probabilidades de estar utilizando análisis automatizado de composición de software (SCA) para detectar y remediar componentes de OSS vulnerables conocidos en todo el SDLC.
  
• 51% más de probabilidades de mantener de forma centralizada una lista de materiales de software (SBOM) para las aplicaciones.
  
• 4.9 veces más probabilidades de actualizar con éxito las dependencias y corregir vulnerabilidades sin romperse.
  
• 33 veces más probabilidades de estar seguro de que las dependencias de OSS son seguras (es decir, sin vulnerabilidades conocidas).

Hallazgos adicionales

• 1,5 billones de solicitudes de descarga de componentes proyectadas en 2020 en todos los principales ecosistemas de código abierto.
  
• 10% de las descargas de componentes de Java OSS por parte de los desarrolladores tenían vulnerabilidades de seguridad conocidas.
  
• Se sabe que el 11% de los componentes de código abierto que los desarrolladores incorporan en sus aplicaciones son vulnerables, con 38 vulnerabilidades descubiertas en promedio.
  
• El 40% de los paquetes npm contienen dependencias con vulnerabilidades conocidas.
  
• Las nuevas vulnerabilidades de código abierto de día cero se explotan en el ambiente dentro de los 3 días posteriores a la divulgación pública.
  
• El código fuente empresarial promedio de 3.500 proyectos de OSS, incluidas más de 11.000 versiones de componentes.

“Descubrimos que las empresas de alto rendimiento pueden alcanzar simultáneamente los objetivos de seguridad y productividad”, dijo Gene Kim , investigador de DevOps y autor de The Unicorn Project . «Es fantástico obtener una mejor comprensión de los principios y prácticas de cómo se logra esto, así como sus resultados medibles».

“Fue realmente emocionante encontrar tanta evidencia de que este intercambio tan discutido entre seguridad y productividad es realmente una falsa dicotomía. Con la cultura, el flujo de trabajo y las herramientas adecuados, los equipos de desarrollo pueden lograr excelentes resultados de seguridad y cumplimiento junto con una productividad líder en su clase ”, dijo el Dr. Stephen Magill , científico principal de Galois y director ejecutivo de MuseDev.