Serangan Rantai Pasok Perangkat Lunak Meningkat, AI Jadi Faktor Risiko?

Rantai pasok perangkat lunak, yang melibatkan komponen, alat, dan proses pengembangan, kini menjadi sasaran empuk serangan siber. Penyerang dapat memanfaatkan celah ini untuk melewati pertahanan standar dan memperoleh keuntungan besar.

Hal ini terungkap dalam laporan terbaru dari perusahaan keamanan aplikasi Blackduck berjudul “Navigating Software Supply Chain Risk in a Rapid-Release World”.

Serangan Rantai Pasok Meningkat Pesat

Laporan tersebut, yang didasarkan pada survei terhadap 540 pemimpin keamanan perangkat lunak, mengungkapkan bahwa dua pertiga (65%) organisasi mengalami setidaknya satu serangan rantai pasok dalam 12 bulan terakhir.

Jenis Serangan Semakin Beragam

Insiden ini semakin kompleks, dengan organisasi melaporkan berbagai jenis serangan seperti dependensi berbahaya (30%), kerentanan yang belum ditambal (28%), eksploitasi zero-day (27%), dan injeksi malware ke dalam pipeline build (14%).

AI Memperburuk Risiko Keamanan

Pesatnya adopsi Generative Artificial Intelligence (GenAI) di perusahaan memperburuk situasi. Blackduck mencatat bahwa hampir semua (95%) organisasi kini menggunakan alat AI untuk pengembangan perangkat lunak, terutama ChatGPT, tetapi protokol keamanan tidak mengimbanginya.

Verifikasi Keamanan Kode AI Masih Rendah

Kepercayaan terhadap alat AI tinggi, tetapi verifikasi aktualnya mengkhawatirkan. Hanya seperempat (24%) organisasi yang menganalisis kode yang dihasilkan AI untuk risiko IP, lisensi, keamanan, atau kualitas.

Menurut laporan tersebut, hal ini membuka peluang bagi kerentanan dalam rantai pasok, termasuk pelanggaran hak cipta IP atau kebocoran kunci API sensitif.

Kepatuhan Sebagai Pilar Pertahanan

Untuk memperkuat pertahanan, kepatuhan terhadap regulasi perlu dipertimbangkan dengan cermat. Blackduck berpendapat bahwa pendekatan yang mengutamakan kepatuhan justru mempercepat respons terhadap insiden keamanan.

Kepatuhan Mempercepat Respons Keamanan

Terdapat korelasi antara kontrol kepatuhan yang kuat dan kecepatan remediasi. Sebanyak 54% organisasi yang menerapkan setidaknya empat jenis kontrol kepatuhan bertindak lebih cepat terhadap kerentanan kritis dibandingkan dengan 45% responden lainnya.

Otomatisasi adalah Kunci

Otomatisasi menjadi suatu keharusan. Mengandalkan pemantauan manual periodik, yang masih dilakukan oleh sekitar 36% responden, dianggap tidak memadai. Organisasi dengan pemantauan berkelanjutan otomatis dinilai jauh lebih efektif.