Analyse der Software-Zusammensetzung und Verteidigung im Detail

Druckfreundlich, PDF & E-Mail

Da die Zahl und die Raffinesse der Angriffe weiter zunehmen, setzen viele Unternehmen einen tiefgreifenden Ansatz für die Cybersicherheit ein. Das bedeutet, dass zur Abwehr von Supply-Chain-Angriffen tiefer in die Softwarekompositionsanalyse (SCA) eingestiegen werden muss.

Über die zunehmende Bedeutung dieses Problems können Sie in unserer kürzlich durchgeführten Studie „Application Security 2021 - ein Überblick“ nachlesen. Die zweitbeliebteste Lösung, die in den nächsten 12 Monaten eingesetzt werden sollte, ist Schutz der Software-Lieferketten (durch Scannen), während weitere 30 Prozent der Befragten den Schutz der Software-Lieferkette als eigenständigen Dienst nutzen möchten. SCA ist bereits die beliebteste Abwehrmaßnahme gegen Angriffe auf die Software-Lieferkette und wird von 59 Prozent der Unternehmen in den USA und im asiatisch-pazifischen Raum eingesetzt.

Software besteht heute aus Dutzenden von verschiedenen Komponenten, von denen jede einzelne ihre eigenen Schwachstellen aufweisen kann. So kann eine typische Website Komponenten zur Zählung der Besucher, zur Abwicklung des elektronischen Geschäftsverkehrs, zum Hosting und Anzeigen von Werbung oder zur Personalisierung von Inhalten enthalten. Und viele dieser Komponenten setzen sich ihrerseits aus Komponenten anderer Anbieter oder Open-Source-Bibliotheken zusammen. Das führt zu einer Vielzahl von potenziellen Schwachstellen. Das hat zur Folge, dass Sie bei jedem Softwarekauf darauf vertrauen müssen, dass Dutzende von unbekannten Anbietern und Entwicklern eine ordnungsgemäße Due-Diligence-Prüfung durchgeführt haben.

Und gemäß unserer Umfrage ist dies nicht nur eine theoretische Bedrohung. Fast drei Viertel der befragten Unternehmen (72 Prozent) gaben an, dass in ihrem Unternehmen im vergangenen Jahr mindestens ein Sicherheitsverstoß durch eine Software-Schwachstelle aufgetreten ist.

Bei der SCA geht es darum, die einzelnen Komponenten einer Anwendung oder einer neuen Version einer Anwendung auf bekannte Schwachstellen zu überprüfen. Allerdings haben es die Angreifer auch auf bekannte Softwareanbieter abgesehen, um in die Lieferketten von Unternehmen einzudringen.

Der jüngste aufsehenerregende Supply-Chain-Angriff nutzte Kaseya – ein beliebtes IT-Management- und Security-Tool – um Malware zu verstecken, mit der Hunderte von Unternehmen auf der ganzen Welt infiziert wurden. Kaseya wird von vielen Anbietern von Managed Services verwendet, die IT-Systeme von Unternehmen hosten. Der Angriff verursachte den größtmöglichen Schaden, da er am Wochenende des 4. Juli, einem Feiertagswochenende in den USA, stattfand, als viele Unternehmen ihre Büros geschlossen hatten. Die für die Malware verantwortlichen Kriminellen, REvil Group, forderten 70 Mio. $ in Bitcoin, um Geschäftsdaten zu entschlüsseln. Nachdem Kaseya infiziert wurde, dauerte es eine Woche, bis die Systeme des Unternehmens wieder betriebsbereit waren.

Doch die schädlichste Supply-Chain-Verletztung war der SolarWinds-Angriff, der im Dezember 2020 in den Schlagzeilen war, aber noch heute Opfer fordert. Cyberkriminelle haben eine Hintertür in die weit verbreitete Netzwerk-Management-Software von SolarWinds eingebaut, wodurch Tausende von Kunden des Unternehmens angreifbar wurden. Zu den kompromittierten Organisationen gehörten hochsichere Bereiche der US-Regierung wie das Energieministerium, das Heimatschutzministerium und das Außenministerium.

Die gute Nachricht ist, dass es, obwohl SCA ein neues Segment ist, kostenlose Tools gibt, die Sie bei der Sicherung Ihrer Software unterstützen. Das Open Web Application Security Project verfügt über ein Dependency-Checker-Tool, das Ihre Anwendungen auf bekannte Schwachstellen überprüfen und Lösungen anbieten kann – oft müssen Komponenten nur aktualisiert und nicht vollständig ersetzt werden.

Die Verwendung dieses Scan-Tools sollte nicht einmalig sein. Es sollte Teil Ihrer regelmäßigen Softwareprüfung sein und ausgeführt werden, wenn neue Software hinzugefügt oder alte Anwendungen aktualisiert werden. Der Checker aktualisiert sich regelmäßig und automatisch, um nach neuen Sicherheitslücken zu suchen.

Dies sollte Teil eines umfassenden Verteidigungskonzepts sein, denn SCA ist kein Wundermittel. Wenn Sie ihn mit Barracudas WAF v11 und WAF-as-a-Service verwenden, bietet er dennoch client-seitigen Schutz durch optimierte Verteidigung und Reduzierung des Risikos von Supply-Chain-Angriffen. Dies geschieht durch Identifikation von Änderungen am Code in der Serverantwort (SRI) und durch Einspeisung von Browser-Sicherheitsrichtlinien (CSP) zur Laufzeit.

Wenn Sie mehr über reale Bedrohungen erfahren möchten und darüber, wie Unternehmen auf der ganzen Welt dagegen vorgehen, laden Sie unseren Bericht über den Status der Anwendungssicherheit herunter. Er umfasst Einblicke von über 750 Entscheidungsträgern im Bereich Security aus der ganzen Welt.

Nach oben scrollen
Twittern
Teilen
Teilen