Software supply chain crisis builds

Druckfreundlich, PDF & E-Mail

Cyberangriffe auf Software-Lieferketten haben in den letzten Monaten zu einer Flut von aufsehenerregenden Sicherheitsverletzungen geführt, die Unternehmen auf der ganzen Welt betreffen. Cyberkriminelle haben festgestellt, dass der effizienteste Weg, so viel Schaden wie möglich anzurichten, darin besteht, Software zu kompromittieren, die Tausende von Unternehmen einsetzen. Die Hauptziele dieser Angriffe sind die Entwicklerteams, die diese Software entwickeln und implementieren.

Die meisten dieser Angriffe beginnen mit denselben Arten von Phishing-Angriffen, die auch gegen alle anderen eingesetzt werden. Cyberkriminelle versuchen, die Zugangsdaten von Entwicklern zu kompromittieren, die üblicherweise privilegierten Zugriff auf die von ihnen benötigten Backend-IT-Plattformen haben. Genau wie viele Endbenutzer ist der durchschnittliche Entwickler in Bezug auf den Zugriff überprivilegiert.

Dies liegt nicht zuletzt daran, dass viele Entwickler im Interesse der Entwicklung und Bereitstellung von Anwendungen inzwischen regelmäßig Infrastructure as Code (IaC) mithilfe von Tools wie Terraform bereitstellen. Cyberkriminelle wissen, dass das Erlangen von Zugangsdaten zu diesen Systemen ihnen den Zugriff auf die gesamte IT-Umgebung ermöglicht. Die meisten Unternehmen verfügen über Richtlinien, die den Zugriff auf IT-Umgebungen einschränken, aber die Durchsetzung dieser Richtlinien stellt eine große Herausforderung dar.

Eine von Dimensional Research im Auftrag von Tripwire, einem Anbieter von Compliance-Tools, durchgeführte Umfrage unter 314 Sicherheitsexperten ergab, dass mehr als drei Viertel (78%) Best-Practice-Sicherheits-Frameworks verwenden und deutlich mehr als die Hälfte (59%) über Konfigurationsstandards für ihre Public Cloud verfügen. Allerdings gaben nur 38% der Unternehmen, die über Frameworks verfügen, an, dass diese einheitlich in ihren Cloud-Umgebungen angewendet werden. Nur 21% haben nach eigener Aussage einen zentralen Überblick über den Sicherheitsstatus ihres Unternehmens und die Einhaltung von Richtlinien über alle Cloud-Konten hinweg.

Fast drei Viertel der Befragten (73%) gaben an, dass ihre Unternehmen derzeit versuchen, eine Multi-Cloud-Umgebung abzusichern, wobei ganze 98% anmerkten, dass durch die Verwendung mehrerer Clouds zusätzliche Sicherheitsherausforderungen entstehen. Zumindest in der Theorie sollten die besten DevSecOps-Praktiken, die die Verantwortung für die Sicherheit weiter nach links in Richtung der Entwickler verlagern, die Risiken reduzieren. In der Realität haben Entwickler nicht viel Zeit oder in einigen Fällen auch nicht die Motivation, alle Nuancen der Cybersicherheit zu beherrschen. Es mag der Zeitpunkt kommen, an dem die Tools und DevOps-Plattformen, auf die sie sich verlassen, in der Lage sein werden, bösartigen Code zu identifizieren, der in eine Anwendung injiziert wurde. In der Zwischenzeit liegt es jedoch immer noch an den Sicherheitsteams, die Sicherheit der Software-Lieferkette zu gewährleisten, sowohl vor als auch nach der Implementierung der Software in einer Produktionsumgebung.

Natürlich ist das ein hoher Anspruch, wenn Entwickler leicht Opfer eines Phishing-Angriffs werden können. Cybersicherheits-Teams müssen nicht nur Sicherheitsrichtlinien erstellen, sondern auch sicherstellen, dass diese durchgesetzt werden. Zusätzlich erschwert wird diese Problematik durch den Wunsch, die Software-Lieferkette abzusichern, ohne die Geschwindigkeit zu verlangsamen, mit der Anwendungen entwickelt und bereitgestellt werden. Es ist nicht klar, inwieweit das tatsächlich ein erreichbares Ziel ist. An einem gewissen Punkt müssen sich Unternehmen mit der einfachen Tatsache abfinden, dass die schnellere Bereitstellung von unsichererer Software den Cyberkriminellen geradezu in die Hände spielt. In der Tat ist es vielleicht an der Zeit, sich zumindest vorläufig einzugestehen, dass schnell entwickelte Software immer unsicher ist.

Nach oben scrollen
Twittern
Teilen
Teilen