Angriffe auf Software-Lieferketten nehmen zu

Unternehmen bemerken zunehmend, dass sie auf eine neue, komplexe Art und Weise verwundbar sind, die über den Perimeter und außerhalb ihrer traditionellen Sicherheitsabwehr hinausgeht und sogar die Grenzen der Endpunktsicherheit überschreitet, berichten die Experten von Imperva.

Im Blickpunkt stehen dabei Attacken auf die Software-Lieferkette, sowohl für selbst entwickelte als auch für Anwendungen von Drittanbietern. Es handelt sich um ein unlösbares Problem, das durch die Umstellung auf DevOps, die Vorherrschaft von Open-Source-Software in Unternehmensanwendungen und die Notwendigkeit, Open-Source-Code schnell zu übernehmen und einzusetzen, gefördert wurde.

Der schnelle Wandel, der sich in den letzten zwölf Monaten vollzogen hat, hat die Auswirkungen des Nth-Party-Risikos noch verstärkt. Auch wenn Sie über die richtigen Sicherheitskontrollen verfügen, heißt das noch lange nicht, dass Ihre Zulieferer in der Software-Lieferkette dies auch tun.

Die Sicherheitskontrollen eines Unternehmens können sich nicht darauf verlassen, dass alles aus dem Ökosystem vertrauenswürdig ist, selbst von Partnern. Unternehmen müssen über ihren unmittelbaren Lieferantenkreis hinaus denken – sie müssen auch die Lieferanten ihrer Lieferanten berücksichtigen.

Moderne Geschäftsanwendungen sind komplexer denn je – ein Trend, der sich in den kommenden Monaten und Jahren noch beschleunigen wird, da monolithische Anwendungen immer weiter in APIs, Microservices und serverlose Funktionen zerlegt werden. Gleichzeitig haben Unternehmen auch die Art und Weise geändert, wie sie diese Workloads in Produktionsumgebungen ausführen. Mit mehr ephemeren Workloads und verteilten Architekturen gibt es kein Patentrezept für die Softwareanalyse vor der Produktion.

Selbst im strengsten Software Development Life Cycle (SDLC) bedeutet die Komplexität der Entwicklung, dass Schwachstellen eingeführt werden. Leider führen Software-Ökosysteme Risiken ein, die selbst durch Scannen nicht identifiziert werden können. Sicherheitsteams verlassen sich zwar auf statische und dynamische Anwendungs-Scanning-Tools, um Schwachstellen vor der Produktion zu identifizieren, aber sie vereiteln nur einen Bruchteil der Common Vulnerabilities or Exposures (CVEs) in Softwareanwendungen und Bibliotheken.

Schwachstellen in der Software-Lieferkette sind nicht neu. Nach Untersuchungen von Imperva wurden seit dem Jahr 2000 mehr als 150.000 CVEs (Common Vulnerabilities or Exposures) in Softwareanwendungen und Bibliotheken gemeldet. Das Ausmaß dieses Problems wächst jedes Jahr schneller, da immer mehr Unternehmen ihr Geschäft auf Anwendungen und Microservices aufbauen.

Im vergangenen Jahr sind Schwachstellen in Anwendungen zu einem wachsenden Ziel für motivierte Angreifer geworden. Untersuchungen von Imperva zeigen, dass Remote File Inclusion (RFI) und Remote Code Execution (RCE) mit insgesamt mehr als 30 Millionen registrierten Vorfällen im Jahr 2020 ein führender Angriffsvektor war. Darüber hinaus wurden bei Cross-Site-Scripting-Angriffen (XSS) mehr als 16 Millionen Vorfälle und bei SQL-Injections (SQLi) mehr als 10 Millionen Vorfälle registriert. Das unglaubliche Volumen der Angriffe deutet auf eine unhaltbare Situation hin, die in den kommenden Monaten und Jahren zu mehr Geschäftsrisiken führen wird, wenn Unternehmen nicht damit beginnen, die Schwachstellen zu beseitigen, die in ihren Codezeilen lauern.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

ZDNet.de Redaktion

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Stunde ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

5 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

6 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

7 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

7 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

9 Stunden ago