Angriffe auf die Software-Lieferkette werden zunehmen
Wenn mehr Aufmerksamkeit auf eine Art von Cyberangriff gerichtet wird, besteht das Problem darin, dass dadurch mehr Cyberkriminelle dazu ermutigt werden, selbst zu versuchen, ihn auszuführen. In den letzten Monaten ist die Integrität der Software-Lieferketten nach einer Reihe von öffentlichkeitswirksamen Security-Verstößen zu einem wichtigen Thema geworden. Es besteht die Hoffnung, dass durch die Übernahme der besten DevSecOps-Praktiken sichergestellt wird, dass weniger Schwachstellen in Software gelangen, die in Produktionsumgebungen eingesetzt wird.
Das Weiße Haus hat diesbezüglich nun ein Memo veröffentlicht, in dem die Bundesbehörden aufgefordert werden, die Richtlinien des Office of Management and Budget (OMB) zur Software-Lieferkette einzuhalten. Dieser Leitfaden stützt sich auf eine von der Biden-Administration erlassene Durchführungsverordnung, nach der die Behörden die Security ihrer Software-Lieferketten überprüfen müssen.
Die primäre Methode, Malware in Software einzubetten, die in der Entwicklung ist, besteht darin, die Zugangsdaten eines Mitglieds des Anwendungsentwicklungsteams zu kompromittieren. Microsoft hat beispielsweise eine Warnung ausgegeben, in der detailliert beschrieben wird, wie eine als ZINC bekannte Bande von Cyberkriminellen LinkedIn nutzt, um einen ersten Kontakt mit Softwareentwicklern herzustellen, die auf der Suche nach einem neuen Job sind. Anschließend werden diese Entwickler ermutigt, als Kommunikationsmedium auf den WhatsApp-Messaging-Service zu wechseln, über den bösartige Payloads auf dem System eines Entwicklers installiert werden.
Die Warnung von Microsoft weist auch darauf hin, dass ZINC für diese Angriffe speziell auf Open Source-Software wie PuTTY, KiTTY, TightVNC, Sumatra PDF Reader und muPDF/Subliminal Recording Software-Installer abzielt. Sollten Entwickler diese Komponenten in die von ihnen erstellten Anwendungen aufnehmen, besteht eine hohe Wahrscheinlichkeit, dass Malware, die von ZINC in diese Softwarepakete eingebettet ist, zu einem späteren Zeitpunkt aktiviert wird. ZINC wurde identifiziert als Untergruppe der nordkoreanischen Lazarus Hacking-Crew und die Gefahr, die von diesem Angriff ausgeht, sollte nicht unterschätzt werden.
Natürlich weiß niemand genau, wo diese Malware landen könnte und darin liegt die Herausforderung, der sich Security-Experten zunehmend stellen müssen. Das Tempo, mit dem die Prozesse zur Erstellung von verbesserter Software weiterentwickelt werden, ist sehr langsam. Es dauert lange, die Kultur der Anwendungsentwickler zu verändern, die dazu neigen, mehr Wert auf die Liefergeschwindigkeit zu legen als auf Security. Da Cyberkriminelle dies erkannt haben, nehmen sie jetzt mehr als je zuvor Software-Lieferketten ins Visier, denn sie wissen, wie verwundbar diese sind.
Die gute Nachricht ist, dass die Führungskräfte, die Entwickler einstellen, beginnen, Security Vorrang vor Geschwindigkeit einzuräumen. Eine von CloudBees, einem Plattform-Anbieter für die Entwicklung und Bereitstellung von Anwendungen, durchgeführte Umfrage unter 600 Führungskräften ergab, dass über drei Viertel der Befragten sagten, Security und Compliance seien wichtiger als Geschwindigkeit und Compliance. Die schlechte Nachricht ist, dass 88 % dieser Führungskräfte glauben, die Software-Lieferkette ihrer Organisation sei sicher oder sehr sicher.
Leider ist es wahrscheinlich, dass sich die Software-Security verschlechtert, bevor sie schließlich besser wird. Daher sollten sich Cybersecurity-Teams auf das Schlimmste vorbereiten. Wie die Schwachstelle Log4j Shell bereits eindeutig gezeigt hat, kann es Monate dauern, alle Instanzen einer Softwarekomponente zu finden, die eine Schwachstelle aufweist. Ein schnelles Reaktionsteam für das Management von Security-Vorfällen war noch nie wichtiger, denn wenn eine Schwachstelle entdeckt wird, ist es wie immer nur ein Wettrennen gegen die Zeit, bevor sie ausgenutzt wird.
