Angriffe auf Software-Lieferketten nehmen zu

Unternehmen bemerken zunehmend, dass sie auf eine neue, komplexe Art und Weise verwundbar sind, die über den Perimeter und außerhalb ihrer traditionellen Sicherheitsabwehr hinausgeht und sogar die Grenzen der Endpunktsicherheit überschreitet, berichten die Experten von Imperva.

Im Blickpunkt stehen dabei Attacken auf die Software-Lieferkette, sowohl für selbst entwickelte als auch für Anwendungen von Drittanbietern. Es handelt sich um ein unlösbares Problem, das durch die Umstellung auf DevOps, die Vorherrschaft von Open-Source-Software in Unternehmensanwendungen und die Notwendigkeit, Open-Source-Code schnell zu übernehmen und einzusetzen, gefördert wurde.

Der schnelle Wandel, der sich in den letzten zwölf Monaten vollzogen hat, hat die Auswirkungen des Nth-Party-Risikos noch verstärkt. Auch wenn Sie über die richtigen Sicherheitskontrollen verfügen, heißt das noch lange nicht, dass Ihre Zulieferer in der Software-Lieferkette dies auch tun.

Die Sicherheitskontrollen eines Unternehmens können sich nicht darauf verlassen, dass alles aus dem Ökosystem vertrauenswürdig ist, selbst von Partnern. Unternehmen müssen über ihren unmittelbaren Lieferantenkreis hinaus denken – sie müssen auch die Lieferanten ihrer Lieferanten berücksichtigen.

Moderne Geschäftsanwendungen sind komplexer denn je – ein Trend, der sich in den kommenden Monaten und Jahren noch beschleunigen wird, da monolithische Anwendungen immer weiter in APIs, Microservices und serverlose Funktionen zerlegt werden. Gleichzeitig haben Unternehmen auch die Art und Weise geändert, wie sie diese Workloads in Produktionsumgebungen ausführen. Mit mehr ephemeren Workloads und verteilten Architekturen gibt es kein Patentrezept für die Softwareanalyse vor der Produktion.

Selbst im strengsten Software Development Life Cycle (SDLC) bedeutet die Komplexität der Entwicklung, dass Schwachstellen eingeführt werden. Leider führen Software-Ökosysteme Risiken ein, die selbst durch Scannen nicht identifiziert werden können. Sicherheitsteams verlassen sich zwar auf statische und dynamische Anwendungs-Scanning-Tools, um Schwachstellen vor der Produktion zu identifizieren, aber sie vereiteln nur einen Bruchteil der Common Vulnerabilities or Exposures (CVEs) in Softwareanwendungen und Bibliotheken.

Schwachstellen in der Software-Lieferkette sind nicht neu. Nach Untersuchungen von Imperva wurden seit dem Jahr 2000 mehr als 150.000 CVEs (Common Vulnerabilities or Exposures) in Softwareanwendungen und Bibliotheken gemeldet. Das Ausmaß dieses Problems wächst jedes Jahr schneller, da immer mehr Unternehmen ihr Geschäft auf Anwendungen und Microservices aufbauen.

Im vergangenen Jahr sind Schwachstellen in Anwendungen zu einem wachsenden Ziel für motivierte Angreifer geworden. Untersuchungen von Imperva zeigen, dass Remote File Inclusion (RFI) und Remote Code Execution (RCE) mit insgesamt mehr als 30 Millionen registrierten Vorfällen im Jahr 2020 ein führender Angriffsvektor war. Darüber hinaus wurden bei Cross-Site-Scripting-Angriffen (XSS) mehr als 16 Millionen Vorfälle und bei SQL-Injections (SQLi) mehr als 10 Millionen Vorfälle registriert. Das unglaubliche Volumen der Angriffe deutet auf eine unhaltbare Situation hin, die in den kommenden Monaten und Jahren zu mehr Geschäftsrisiken führen wird, wenn Unternehmen nicht damit beginnen, die Schwachstellen zu beseitigen, die in ihren Codezeilen lauern.