Neuer Rekord bei entdeckten Schwachstellen

Angesichts des ungewöhnlichen Jahres ist es schwieriger, endgültige Aussagen zu Trends zu treffen, aber ein von Bugcrowd, einem Anbieter einer Plattform für Crowdsourcing-Sicherheitstests, veröffentlichter Bericht legt nahe, dass mehr Cybersicherheitsexperten von zu Hause aus arbeiten Die Anzahl der entdeckten Sicherheitslücken mit hohem Risiko hat stark zugenommen.

Die Ergebnisse des Berichts weisen darauf hin, dass die Anzahl der Übermittlungen auf der Plattform in den letzten 12 Monaten um 50 % gestiegen ist, einschließlich einer Erhöhung der Priority-One-Übermittlungen um 65 %. Dabei muss jedoch berücksichtigt werden, dass Software heutzutage um einiges öfter auf Produktionsumgebungen ausgeführt wird als jemals zuvor. Und da natürlich auch Softwaretester Social Distancing betreiben, ist anzunehmen, dass jetzt umso mehr Zeit in die Fehlersuche investiert wird.

Aus dem Bericht geht allerdings auch hervor, dass die entdeckten Schwachstellen im Vergleich zum Vorjahr — und vermutlich auch zum Vorvorjahr — unverändert geblieben sind. Jene Schwachstellen, die im Jahr 202 am häufigsten übermittelt wurden, umfassten in erster Linie fehlerhafte Zugriffskontrollen, gefolgt von Schwachstellen im Zusammenhang mit Cross-Site-Scripting (XSS).

Der Fazit des Berichts lautet, dass die Summe der Auszahlungen für aufgedeckte Schwachstellen kontinuierlich um etwa 15 % bis 20 % pro Quartal steigt.

Schwachstellen beheben

Bedauerlicherweise geht eine erhöhte Anzahl von aufgedeckten Schwachstellen nicht automatisch mit einer erfolgreicheren Schwachstellenbehebung einher. Die Entwicklung und Bereitstellung von Software ist ein komplexer Prozess. Organisationen müssen ständig Kompromisse eingehen, um ein Gleichgewicht zwischen der Beseitigung von Schwachstellen und dem Veröffentlichen neuer Funktionalitäten zu finden. Für gewöhnlich stellen Cybersecurity-Teams Entwicklern regelmäßig eine Liste von Schwachstellen zur Verfügung, die jedoch rundheraus ignoriert wird. Diese Handlungsweise rührt vor allem von der Tatsache, dass viele Cybersecurity-Teams die Dringlichkeit bzw. Gefahr von Schwachstellen im direkten Vergleich unzureichend beurteilen. Der Rest ist ein direktes Ergebnis der Tatsache, dass die meisten Anwendungsentwickler bereits hinter dem Zeitplan zurückbleiben, um die nächste großartige Funktion bereitzustellen, auf die jeder im Unternehmen wartet.

Die Einführung von DevSecOps Best Practices soll diese Probleme natürlich lösen. IT-Teams sollten darauf hinarbeiten, Anwendungsentwicklungen und Arbeitsabläufe so zu kombinieren, dass im Endeffekt mehr Codes mit höheren Sicherheitsstandards entwickelt werden. Diese sollten auch erst dann in der Produktionsumgebung bereitgestellt werden, wenn diese Standards erreicht wurden. Schließlich ist es um einiges kostengünstiger, Anpassungen an Codes noch vor dem Deployment vorzunehmen, statt erst nach der Veröffentlichung. In der Praxis folgen beim Thema DevSecOps Worten allerdings nur allzu selten auch Taten.

Interessant wird es sein, wie Schwachstellentests im Jahr 2021 ablaufen werden. Wenn Unternehmen Container wie Docker nutzen, um Anwendungen zu entwickeln, sollte die Behebung von Schwachstellen dank des „Rip and Replace“-Ansatzes um einiges einfacher werden. Anstelle eines vollumfänglichen Patching einer Anwendung entfernt und ersetzt der Entwickler in diesem Fall den Container, in dem der problematische Code quasi verschachtelt wurde.

Auf der anderen Seite werden diese Container jedoch eingesetzt, um Anwendungen basierend auf Microservices zu entwickeln, deren Schutz oftmals eine Herausforderung darstellt. Jeder Microservice verfügt über eine eigene Programmierschnittstelle (API), die von jenen Entwicklern gesichert werden muss, die tagtäglich weitere Microservices entwickeln und bereitstellen. Im Endeffekt könnte es dazu kommen, dass ein Sicherheitsproblem einer Anwendung ganz einfach durch ein anderes ersetzt wird und die Sicherheitslücke im Unternehmen somit weiterhin bestehen bleibt.

Ein schwacher Trost für Cybersecurity-Experten: Mehr und mehr dieser Probleme kommen immer früher ans Licht.