Open-Source-Software und Lieferkettenangriffe: Drei Strategien zur Verbesserung der Software-Sicherheit
Um ihre Software-Sicherheit zu verbessern, müssen Unternehmen drei wichtige Strategien berücksichtigen, da sich Open-Source-Software verbreitet und Angriffe auf die Lieferkette häufiger werden. Da im letzten Jahr alarmierende Schwachstellen in der MOVEit- und 3CX-Software aufgetreten sind, sieht sich die Cybersicherheitsgemeinschaft mit einer immer größer werdenden Krise von Angriffen auf die Software-Lieferkette konfrontiert.
Diese Angriffe haben sich zu einer effektiven Waffe für Bedrohungsakteure entwickelt, die in die Netzwerke von Softwareanbietern eindringen und schädlichen Code einschleusen möchten. Wenn ahnungslose Kunden über Updates oder Installationsprogramme mit kompromittierter Software beliefert werden, ermöglicht dies unbefugte Aktivitäten wie Datenraub und Übernahmen.
Die Ernsthaftigkeit dieser Bedrohung wird durch einen Bericht von Sonatype verdeutlicht, der einen erstaunlichen durchschnittlichen jährlichen Anstieg von 742 % bei Angriffen auf die Software-Lieferkette zwischen den Jahren 2019 und 2022 aufzeigt. Experten gehen leider nicht davon aus, dass sich dieser Trend in naher Zukunft umkehren wird.
Die Schwere dieser Verstöße resultiert aus der Schnittstelle mit zwei wichtigen Elementen der modernen Cybersicherheitslandschaft: der zunehmenden Raffinesse der Angriffe und der verstärkten Digitalisierung, die durch die COVID-19-Pandemie und aufkommende Technologien beschleunigt wurde. Die jüngsten Ereignisse wie der SolarWinds-Kompromiss im Jahr 2019 und die Angriffe auf Kaseya und Log4j im Jahr 2021 haben deutlich gemacht, welche weitreichenden Folgen Angriffe auf die Software-Lieferkette haben können. SolarWinds gab bekannt, dass potenziell bis zu 18.000 Kunden Malware heruntergeladen haben könnten, während der Kaseya-Ransomware-Angriff etwa 1.500 Unternehmen betraf und ein Lösegeld von 50 Millionen gefordert wurde. Innerhalb der ersten sieben Tage verzeichnete die Log4j-Schwachstelle beinahe 1,3 Millionen Versuche, sie auszunutzen, und die Konsequenzen solcher Verstöße können über Jahre oder sogar Jahrzehnte hinweg anhalten.
Es ist eine komplexe und kostspielige Aufgabe, die Angriffe auf die Software-Lieferkette einzudämmen. Laut dem IBM-Bericht zu den Kosten von Datenverstößen im Jahr 2023 wurden durchschnittliche Kosten von 4,63 Millionen für solche Verstöße festgestellt, was 8,3 % höher ist als bei anderen Ursachen für Datenverstöße. Die Identifizierung und Begrenzung von Verstößen gegen die Lieferkette dauert im Durchschnitt 294 Tage, was 8,9 % länger ist als bei anderen Sicherheitsverletzungen.
Die Veränderung der Software-Lieferketten hat eine entscheidende Rolle in diesem Szenario gespielt. Früher wurde ein beträchtlicher Teil des Codes von Grund auf neu geschrieben, aber heutzutage stützt sich das digitale Ökosystem stark auf Open-Source-Software, Zusammenarbeit in Software-Communities und Technologien wie generative KI. Diese verschiedenen Quellen bilden gemeinsam die Software-Lieferkette und führen mit jedem Element neue Sicherheitslücken ein.
Um ihre Software-Lieferketten abzusichern, müssen Organisationen drei Hauptstrategien anwenden: die Implementierung eines Software-Bill-of-Materials (SBOM), um alle Softwarekomponenten umfassend zu inventarisieren, die in der Lieferkette verwendet werden, um Schwachstellen schnell zu beheben, die Durchführung einer kontinuierlichen Überprüfung auf öffentlich bekannt gegebene Cybersicherheitsschwachstellen in allen Komponenten, von den frühen Entwicklungsstadien bis zur Laufzeit, und die Durchsetzung von Zero-Trust-Richtlinien, um den unbefugten Zugriff auf Ressourcen einzuschränken und insbesondere Zero-Day-Angriffe abzuwehren, die unbekannte Schwachstellen ausnutzen.
Laut Forschungsergebnissen wird prognostiziert, dass bis zum Jahr 2025 45 % der Unternehmen Angriffen auf ihre Software-Lieferkette ausgesetzt sein werden. Unternehmen müssen umgehend handeln, um ein Verständnis für ihre Software-Zusammensetzung zu erlangen, ihren Code gründlich zu überprüfen und die Prinzipien des Zero Trust in ihr gesamtes Ökosystem zu integrieren. Ohne die Annahme robuster Strategien zur Dokumentation und Behebung von Schwachstellen in der Lieferkette können erhebliche finanzielle Verluste und Reputationsschäden entstehen.
Schlagwörter: 742% + SolarWinds + SBOM
Wie bewerten Sie den Schreibstil des Artikels?