De toenemende complexiteit van IT-omgevingen leidt tot meer onvoorziene gevaren. Het risico van cyberaanvallen en datalekken via de software supply chain is maar moeilijk te bezweren, blijkt uit onderzoek van JFrog.
Om te duiden hoe onoverzichtelijk de IT-infrastructuur van bedrijven tegenwoordig kan zijn, haalt JFrog het aantal gebruikte programmeertalen aan. Het merendeel (53 procent) maakt gebruik van 4 tot 9 talen, terwijl slechts 16 procent dit beperkt tot 1-3. Bij 39 procent van de onderzochte organisaties met meer dan 5.000 werknemers zijn er zelfs 10 of meer programmeertalen in gebruik.
Nuttig maar gevaarlijk
Deze grote variëteit laat zien dat er allerlei packages en libraries rondgaan, veelal in open-source vorm. Het nut hiervan laat zich raden, met AI-adoptie als beweegreden om bijvoorbeeld PyPI-contributies te maken.
Tegelijkertijd neemt het aantal kwetsbaarheden toe. In 2023 werden er 26.000 CVE’s gepubliceerd, die veelal wijzen naar exploitaties van bekende cyberrisico’s. SQL injections zijn daarbij prominent, iets waar de FBI en de CISA deze week nog ontwikkelaars op de vingers over tikten.
Misleidende scores
Wel geeft JFrog aan dat deze CVE’s lang niet altijd de lading dekken. We hebben dit eerder eveneens aangekaart: “kritieke” kwetsbaarheden kunnen soms een stuk minder zorgwekkend zijn dan ze lijken, terwijl lage CVSS-scores helemaal niet geruststellend dienen te zijn. De exploiteerbaarheid van een kwetsbaarheid verdient meer aandacht, stelt ook JFrog. 74 procent van de CVE’s die “hoge” en “kritieke” scores kennen, zijn niet exploiteerbaar, blijkt uit het onderzoek.
Tip: Wanneer is een kritieke kwetsbaarheid daadwerkelijk ernstig?
Dit is een probleem voor ontwikkelaars die het aanpakken van kwetsbaarheden moeten prioriteren. Alles direct patchen is het ideaalbeeld, maar de realiteit is dat dat niet altijd een reëele verwachting is. Dit wordt nog verder bemoeilijkt door de eerder genoemde complexere supply chain. Het beheren daarvan vereist contextuele informatie, iets waarbij verschillende security-spelers kunnen assisteren. Zo bieden partijen als CrowdStrike een threat intelligence-platform dat laat zien welke dreigingen actief spelen, iets dat duidelijker laat zien welke gevaren daadwerkelijk zorgwekkend zijn.
Lees ook: CrowdStrike bundelt threat hunting en intelligence om identity-gevaar te bestrijden