יותר מ-25,000 טוקנים וסיסמאות נמצאו במאגרים ציבוריים
פרצות אבטחה נפוצות מסכנות את שרשרת האספקה בתחום אבטחת התוכנה, וצוותי ה-IT צריכים כלים חדשים כדי להתמודד איתן
תמונה: pixabay
כולנו רואים וחווים את זה: הצמיחה המטורפת של קוד פתוח, כלי אבטחה חדשים ומודלים של אינטליגנציה מלאכותית הולכים ומסבכים את עולם אבטחת התוכנה, וזה עוד לפני שהגענו לשימוש במודלים של למידת מכונה (ML) ובינה מלאכותית (AI).
דוח חדש מעלה את הקשיים שעולים בניהול אבטחת מידע בסביבה שבה כלים חדשים הופכים לאיומים חדשים, ומציין כי מדובר באתגר שאינו בלעדי למפתחים, אלא שייך גם לצוותי האבטחה וה-IT שצריכים כלים חדשניים כדי להתמודד עם הסיכונים הללו.
הדוח פורסם על ידי חברת JFrog ושם במרכז את ארבע פרצות האבטחה שמסכנות את שרשרת אספקת התוכנה: חולשות, חבילות זדוניות, חשיפת סודות והגדרות אבטחה שגויות. במיוחד מדאיגה עלייתם של סודות רגישים, כמו טוקנים וסיסמאות, שמגיעים למאגרים ציבוריים. לדוגמה, צוות המחקר של החברה זיהה יותר מ-25,000 סודות חשופים במאגרים ציבוריים, עלייה של 64% מהשנה שעברה. כל חשיפה כזו מהווה פוטנציאל לניצול על ידי תוקפים, ומעמיד בסיכון את כל השרשרת.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
מודלים לא חסינים מפני התקפות
תיראו מופתעים: הדוח מצא כי המודלים של AI/ML הפכו לפגיעים בפני התקפות. בשנת 2024 נוספו יותר ממיליון מודלים ודאטה-סטים חדשים ל-Hugging Face, ומתוכם פי 6 יותר מודלים פגיעים שמהווים כיום יעד מרכזי לתוקפים. הבעיה המרכזית היא שארגונים רבים עדיין מנהלים את המודלים האלה בצורה ידנית ולא אוטומטית, מה שמגביר את הסיכון לאי עקביות ובעיות אבטחה.
המצב הזה מעלה את הצורך בניהול מודלים מאושרים בצורה אוטומטית, דבר שלא קורה כרגע ברוב הארגונים. יותר מ-37% מהחברות עדיין מסתמכות על תהליכים ידניים בניהול המודלים, מה שמוביל לחשש ממודלים לא מעודכנים או לא מאובטחים כראוי. זאת ועוד, הדוח מציין כי רק 43% מהחברות מבצעות סריקות שגרתיות לקוד ולבינאריים, לעומת 56% בשנה שעברה. המשמעות היא שיש ירידה בזיהוי פרצות אבטחה בשלבים המוקדמים של הפיתוח.
יותר מ-33,000 פרצות חדשות
נוסף על כך, כמות ה-CVEs החדשות – פרצות אבטחה שמזוהות ומדורגות על ידי גופי דירוג – עלתה ב-27% ב-2024, והגיעה ליותר מ-33,000 פרצות חדשות. עלייה זו, יחד עם הציונים המנופחים של חלק מהחולשות, גורמת לפי כותבי הדוח להתרעות שווא ולתופעת "עייפות חולשות" בקרב מפתחים וצוותי אבטחה. פעמים רבות הם נדרשים להשקיע זמן יקר בתיקון בעיות שלא מהוות איום אמיתי על הארגון.
כדי להתמודד עם האתגרים הללו ארגונים צריכים לא רק להסתמך על פתרונות קיימים, אלא להבטיח שהם פועלים באופן אוטומטי, יעיל ומעודכן, וכן לתכנן השקעה בטכנולוגיות חדשות שיספקו פתרונות מותאמים לעידן ה-AI וה-ML. חשוב במיוחד לנקוט גישה שמרכזת את המיקוד בניהול האוטומטי של מודלים, קוד פתוח והזדהויות רגישות.
בסופו של דבר, ניהול אבטחת שרשרת אספקת התוכנה דורש גישה רחבה ועדכנית, שמספקת פתרונות לבעיות של היום ושל המחר. כדי לשמור על הארגון בטוח, לא מספיק רק להסתכל על התוכנה המפותחת, אלא גם על כל הרכיבים החיצוניים שמצטרפים לשרשרת, כלים, מודלים ומאגרים.
