Neuer Rekord bei entdeckten Schwachstellen

Druckfreundlich, PDF & E-Mail

In Anbetracht dieses außergewöhnlichen Jahres ist es schwieriger als sonst, endgültige Aussagen über Trends zu machen. Aus einem Bericht von Bugcrowd, einem auf Sicherheitstests via Crowdsourcing spezialisierten Plattformanbieter, geht allerdings hervor, dass aufgrund der erhöhten Anzahl an Cybersecurity-Mitarbeitern, die nun von zu Hause aus arbeiten, immer mehr hochriskante Schwachstellen aufgedeckt werden.

Die Ergebnisse des Berichts weisen darauf hin, dass die Anzahl der Übermittlungen auf der Plattform in den letzten 12 Monaten um 50% gestiegen ist, einschließlich einer Erhöhung der Priority-One-Übermittlungen um 65%. Dabei muss jedoch berücksichtigt werden, dass Software heutzutage um einiges öfter auf Produktionsumgebungen ausgeführt wird als jemals zuvor. Und da natürlich auch Softwaretester Social Distancing betreiben, ist anzunehmen, dass jetzt umso mehr Zeit in die Fehlersuche investiert wird.

Aus dem Bericht geht allerdings auch hervor, dass die entdeckten Schwachstellen im Vergleich zum Vorjahr – und vermutlich auch zum Vorvorjahr – unverändert geblieben sind. Jene Schwachstellen, die im Jahr 2020 am häufigsten übermittelt wurden, umfassten in erster Linie fehlerhafte Zugriffskontrollen, gefolgt von Schwachstellen im Zusammenhang mit Cross-Site-Scripting (XSS).

Der Fazit des Berichts lautet, dass die Summe der Auszahlungen für aufgedeckte Schwachstellen kontinuierlich um etwa 15 bis 20% pro Quartal steigt.

Schwachstellen beheben

Bedauerlicherweise geht eine erhöhte Anzahl von aufgedeckten Schwachstellen nicht automatisch mit einer erfolgreicheren Schwachstellenbehebung einher. Die Entwicklung und Bereitstellung von Software ist ein komplexer Prozess. Organisationen müssen ständig Kompromisse eingehen, um ein Gleichgewicht zwischen der Beseitigung von Schwachstellen und dem Veröffentlichen neuer Funktionalitäten zu finden. Für gewöhnlich stellen Cybersecurity-Teams Entwicklern regelmäßig eine Liste von Schwachstellen zur Verfügung, die jedoch rundheraus ignoriert wird. Diese Handlungsweise rührt vor allem von der Tatsache, dass viele Cybersecurity-Teams die Dringlichkeit bzw. Gefahr von Schwachstellen im direkten Vergleich unzureichend beurteilen. Der verbliebene Anteil lässt sich auf das Manko zurückführen, dass sich die meisten Anwendungsentwickler bereits jetzt in zeitlichem Verzug befinden, die nächste heiß ersehnte Funktionalität für das Unternehmen zu liefern.

Die Einführung von Best Practices aus dem DevSecOps-Ansatz sollte hierbei natürlich Abhilfe schaffen. IT-Teams sollten darauf hinarbeiten, Anwendungsentwicklungen und Arbeitsabläufe so zu kombinieren, dass im Endeffekt mehr Codes mit höheren Sicherheitsstandards entwickelt werden. Diese sollten auch erst dann in der Produktionsumgebung bereitgestellt werden, wenn diese Standards erreicht wurden. Schließlich ist es um einiges kostengünstiger, Anpassungen an Codes noch vor dem Deployment vorzunehmen, statt erst nach der Veröffentlichung. In der Praxis folgen beim Thema DevSecOps Worten allerdings nur allzu selten auch Taten.

Interessant wird es sein, wie Schwachstellentests im Jahr 2021 ablaufen werden. Wenn Unternehmen Container wie Docker nutzen, um Anwendungen zu entwickeln, sollte die Behebung von Schwachstellen dank des „Rip and Replace“-Ansatzes um einiges einfacher werden. Anstelle eines vollumfänglichen Patching einer Anwendung entfernt und ersetzt der Entwickler in diesem Fall den Container, in dem der problematische Code quasi verschachtelt wurde.

Auf der anderen Seite werden diese Container jedoch eingesetzt, um Anwendungen basierend auf Microservices zu entwickeln, deren Schutz oftmals eine Herausforderung darstellt. Jeder Microservice verfügt über eine eigene Programmierschnittstelle (API), die von jenen Entwicklern gesichert werden muss, die tagtäglich weitere Microservices entwickeln und bereitstellen. Im Endeffekt könnte es dazu kommen, dass ein Sicherheitsproblem einer Anwendung ganz einfach durch ein anderes ersetzt wird und die Sicherheitslücke im Unternehmen somit weiterhin bestehen bleibt.

Ein schwacher Trost für Cybersecurity-Experten: Mehr und mehr dieser Probleme kommen immer früher ans Licht.

 

Leave a Reply

Your email address will not be published. Required fields are marked *

Nach oben scrollen
Twittern
Teilen
Teilen