Angriffe auf Software-Lieferketten nehmen zu

Unternehmen bemerken zunehmend, dass sie auf eine neue, komplexe Art und Weise verwundbar sind, die über den Perimeter und außerhalb ihrer traditionellen Sicherheitsabwehr hinausgeht und sogar die Grenzen der Endpunktsicherheit überschreitet, berichten die Experten von Imperva.

Im Blickpunkt stehen dabei Attacken auf die Software-Lieferkette, sowohl für selbst entwickelte als auch für Anwendungen von Drittanbietern. Es handelt sich um ein unlösbares Problem, das durch die Umstellung auf DevOps, die Vorherrschaft von Open-Source-Software in Unternehmensanwendungen und die Notwendigkeit, Open-Source-Code schnell zu übernehmen und einzusetzen, gefördert wurde.

Der schnelle Wandel, der sich in den letzten zwölf Monaten vollzogen hat, hat die Auswirkungen des Nth-Party-Risikos noch verstärkt. Auch wenn Sie über die richtigen Sicherheitskontrollen verfügen, heißt das noch lange nicht, dass Ihre Zulieferer in der Software-Lieferkette dies auch tun.

Die Sicherheitskontrollen eines Unternehmens können sich nicht darauf verlassen, dass alles aus dem Ökosystem vertrauenswürdig ist, selbst von Partnern. Unternehmen müssen über ihren unmittelbaren Lieferantenkreis hinaus denken – sie müssen auch die Lieferanten ihrer Lieferanten berücksichtigen.

Moderne Geschäftsanwendungen sind komplexer denn je – ein Trend, der sich in den kommenden Monaten und Jahren noch beschleunigen wird, da monolithische Anwendungen immer weiter in APIs, Microservices und serverlose Funktionen zerlegt werden. Gleichzeitig haben Unternehmen auch die Art und Weise geändert, wie sie diese Workloads in Produktionsumgebungen ausführen. Mit mehr ephemeren Workloads und verteilten Architekturen gibt es kein Patentrezept für die Softwareanalyse vor der Produktion.

Selbst im strengsten Software Development Life Cycle (SDLC) bedeutet die Komplexität der Entwicklung, dass Schwachstellen eingeführt werden. Leider führen Software-Ökosysteme Risiken ein, die selbst durch Scannen nicht identifiziert werden können. Sicherheitsteams verlassen sich zwar auf statische und dynamische Anwendungs-Scanning-Tools, um Schwachstellen vor der Produktion zu identifizieren, aber sie vereiteln nur einen Bruchteil der Common Vulnerabilities or Exposures (CVEs) in Softwareanwendungen und Bibliotheken.

Schwachstellen in der Software-Lieferkette sind nicht neu. Nach Untersuchungen von Imperva wurden seit dem Jahr 2000 mehr als 150.000 CVEs (Common Vulnerabilities or Exposures) in Softwareanwendungen und Bibliotheken gemeldet. Das Ausmaß dieses Problems wächst jedes Jahr schneller, da immer mehr Unternehmen ihr Geschäft auf Anwendungen und Microservices aufbauen.

Im vergangenen Jahr sind Schwachstellen in Anwendungen zu einem wachsenden Ziel für motivierte Angreifer geworden. Untersuchungen von Imperva zeigen, dass Remote File Inclusion (RFI) und Remote Code Execution (RCE) mit insgesamt mehr als 30 Millionen registrierten Vorfällen im Jahr 2020 ein führender Angriffsvektor war. Darüber hinaus wurden bei Cross-Site-Scripting-Angriffen (XSS) mehr als 16 Millionen Vorfälle und bei SQL-Injections (SQLi) mehr als 10 Millionen Vorfälle registriert. Das unglaubliche Volumen der Angriffe deutet auf eine unhaltbare Situation hin, die in den kommenden Monaten und Jahren zu mehr Geschäftsrisiken führen wird, wenn Unternehmen nicht damit beginnen, die Schwachstellen zu beseitigen, die in ihren Codezeilen lauern.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago