Angriffe auf Software-Lieferketten nehmen zu

Unternehmen bemerken zunehmend, dass sie auf eine neue, komplexe Art und Weise verwundbar sind, die über den Perimeter und außerhalb ihrer traditionellen Sicherheitsabwehr hinausgeht und sogar die Grenzen der Endpunktsicherheit überschreitet, berichten die Experten von Imperva.

Im Blickpunkt stehen dabei Attacken auf die Software-Lieferkette, sowohl für selbst entwickelte als auch für Anwendungen von Drittanbietern. Es handelt sich um ein unlösbares Problem, das durch die Umstellung auf DevOps, die Vorherrschaft von Open-Source-Software in Unternehmensanwendungen und die Notwendigkeit, Open-Source-Code schnell zu übernehmen und einzusetzen, gefördert wurde.

Der schnelle Wandel, der sich in den letzten zwölf Monaten vollzogen hat, hat die Auswirkungen des Nth-Party-Risikos noch verstärkt. Auch wenn Sie über die richtigen Sicherheitskontrollen verfügen, heißt das noch lange nicht, dass Ihre Zulieferer in der Software-Lieferkette dies auch tun.

Die Sicherheitskontrollen eines Unternehmens können sich nicht darauf verlassen, dass alles aus dem Ökosystem vertrauenswürdig ist, selbst von Partnern. Unternehmen müssen über ihren unmittelbaren Lieferantenkreis hinaus denken – sie müssen auch die Lieferanten ihrer Lieferanten berücksichtigen.

Moderne Geschäftsanwendungen sind komplexer denn je – ein Trend, der sich in den kommenden Monaten und Jahren noch beschleunigen wird, da monolithische Anwendungen immer weiter in APIs, Microservices und serverlose Funktionen zerlegt werden. Gleichzeitig haben Unternehmen auch die Art und Weise geändert, wie sie diese Workloads in Produktionsumgebungen ausführen. Mit mehr ephemeren Workloads und verteilten Architekturen gibt es kein Patentrezept für die Softwareanalyse vor der Produktion.

Selbst im strengsten Software Development Life Cycle (SDLC) bedeutet die Komplexität der Entwicklung, dass Schwachstellen eingeführt werden. Leider führen Software-Ökosysteme Risiken ein, die selbst durch Scannen nicht identifiziert werden können. Sicherheitsteams verlassen sich zwar auf statische und dynamische Anwendungs-Scanning-Tools, um Schwachstellen vor der Produktion zu identifizieren, aber sie vereiteln nur einen Bruchteil der Common Vulnerabilities or Exposures (CVEs) in Softwareanwendungen und Bibliotheken.

Schwachstellen in der Software-Lieferkette sind nicht neu. Nach Untersuchungen von Imperva wurden seit dem Jahr 2000 mehr als 150.000 CVEs (Common Vulnerabilities or Exposures) in Softwareanwendungen und Bibliotheken gemeldet. Das Ausmaß dieses Problems wächst jedes Jahr schneller, da immer mehr Unternehmen ihr Geschäft auf Anwendungen und Microservices aufbauen.

Im vergangenen Jahr sind Schwachstellen in Anwendungen zu einem wachsenden Ziel für motivierte Angreifer geworden. Untersuchungen von Imperva zeigen, dass Remote File Inclusion (RFI) und Remote Code Execution (RCE) mit insgesamt mehr als 30 Millionen registrierten Vorfällen im Jahr 2020 ein führender Angriffsvektor war. Darüber hinaus wurden bei Cross-Site-Scripting-Angriffen (XSS) mehr als 16 Millionen Vorfälle und bei SQL-Injections (SQLi) mehr als 10 Millionen Vorfälle registriert. Das unglaubliche Volumen der Angriffe deutet auf eine unhaltbare Situation hin, die in den kommenden Monaten und Jahren zu mehr Geschäftsrisiken führen wird, wenn Unternehmen nicht damit beginnen, die Schwachstellen zu beseitigen, die in ihren Codezeilen lauern.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

ZDNet.de Redaktion

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

15 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

2 Tagen ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

2 Tagen ago