Um ihre Software-Sicherheit zu verbessern, m\u00fcssen Unternehmen drei wichtige Strategien ber\u00fccksichtigen, da sich Open-Source-Software verbreitet und Angriffe auf die Lieferkette h\u00e4ufiger werden. Da im letzten Jahr alarmierende Schwachstellen in der MOVEit- und 3CX-Software aufgetreten sind, sieht sich die Cybersicherheitsgemeinschaft mit einer immer gr\u00f6\u00dfer werdenden Krise von Angriffen auf die Software-Lieferkette konfrontiert.<\/p>\n
Diese Angriffe haben sich zu einer effektiven Waffe f\u00fcr Bedrohungsakteure entwickelt, die in die Netzwerke von Softwareanbietern eindringen und sch\u00e4dlichen Code einschleusen m\u00f6chten. Wenn ahnungslose Kunden \u00fcber Updates oder Installationsprogramme mit kompromittierter Software beliefert werden, erm\u00f6glicht dies unbefugte Aktivit\u00e4ten wie Datenraub und \u00dcbernahmen.<\/p>\n
Die Ernsthaftigkeit dieser Bedrohung wird durch einen Bericht von Sonatype verdeutlicht, der einen erstaunlichen durchschnittlichen j\u00e4hrlichen Anstieg von 742 % bei Angriffen auf die Software-Lieferkette zwischen den Jahren 2019 und 2022 aufzeigt. Experten gehen leider nicht davon aus, dass sich dieser Trend in naher Zukunft umkehren wird.<\/p>\n
Die Schwere dieser Verst\u00f6\u00dfe resultiert aus der Schnittstelle mit zwei wichtigen Elementen der modernen Cybersicherheitslandschaft: der zunehmenden Raffinesse der Angriffe und der verst\u00e4rkten Digitalisierung, die durch die COVID-19-Pandemie und aufkommende Technologien beschleunigt wurde. Die j\u00fcngsten Ereignisse wie der SolarWinds-Kompromiss im Jahr 2019 und die Angriffe auf Kaseya und Log4j im Jahr 2021 haben deutlich gemacht, welche weitreichenden Folgen Angriffe auf die Software-Lieferkette haben k\u00f6nnen. SolarWinds gab bekannt, dass potenziell bis zu 18.000 Kunden Malware heruntergeladen haben k\u00f6nnten, w\u00e4hrend der Kaseya-Ransomware-Angriff etwa 1.500 Unternehmen betraf und ein L\u00f6segeld von 50 Millionen gefordert wurde. Innerhalb der ersten sieben Tage verzeichnete die Log4j-Schwachstelle beinahe 1,3 Millionen Versuche, sie auszunutzen, und die Konsequenzen solcher Verst\u00f6\u00dfe k\u00f6nnen \u00fcber Jahre oder sogar Jahrzehnte hinweg anhalten.<\/p>\n
Es ist eine komplexe und kostspielige Aufgabe, die Angriffe auf die Software-Lieferkette einzud\u00e4mmen. Laut dem IBM-Bericht zu den Kosten von Datenverst\u00f6\u00dfen im Jahr 2023 wurden durchschnittliche Kosten von 4,63 Millionen f\u00fcr solche Verst\u00f6\u00dfe festgestellt, was 8,3 % h\u00f6her ist als bei anderen Ursachen f\u00fcr Datenverst\u00f6\u00dfe. Die Identifizierung und Begrenzung von Verst\u00f6\u00dfen gegen die Lieferkette dauert im Durchschnitt 294 Tage, was 8,9 % l\u00e4nger ist als bei anderen Sicherheitsverletzungen.<\/p>\n
Die Ver\u00e4nderung der Software-Lieferketten hat eine entscheidende Rolle in diesem Szenario gespielt. Fr\u00fcher wurde ein betr\u00e4chtlicher Teil des Codes von Grund auf neu geschrieben, aber heutzutage st\u00fctzt sich das digitale \u00d6kosystem stark auf Open-Source-Software, Zusammenarbeit in Software-Communities und Technologien wie generative KI. Diese verschiedenen Quellen bilden gemeinsam die Software-Lieferkette und f\u00fchren mit jedem Element neue Sicherheitsl\u00fccken ein.<\/p>\n
Um ihre Software-Lieferketten abzusichern, m\u00fcssen Organisationen drei Hauptstrategien anwenden: die Implementierung eines Software-Bill-of-Materials (SBOM), um alle Softwarekomponenten umfassend zu inventarisieren, die in der Lieferkette verwendet werden, um Schwachstellen schnell zu beheben, die Durchf\u00fchrung einer kontinuierlichen \u00dcberpr\u00fcfung auf \u00f6ffentlich bekannt gegebene Cybersicherheitsschwachstellen in allen Komponenten, von den fr\u00fchen Entwicklungsstadien bis zur Laufzeit, und die Durchsetzung von Zero-Trust-Richtlinien, um den unbefugten Zugriff auf Ressourcen einzuschr\u00e4nken und insbesondere Zero-Day-Angriffe abzuwehren, die unbekannte Schwachstellen ausnutzen.<\/p>\n
Laut Forschungsergebnissen wird prognostiziert, dass bis zum Jahr 2025 45 % der Unternehmen Angriffen auf ihre Software-Lieferkette ausgesetzt sein werden. Unternehmen m\u00fcssen umgehend handeln, um ein Verst\u00e4ndnis f\u00fcr ihre Software-Zusammensetzung zu erlangen, ihren Code gr\u00fcndlich zu \u00fcberpr\u00fcfen und die Prinzipien des Zero Trust in ihr gesamtes \u00d6kosystem zu integrieren. Ohne die Annahme robuster Strategien zur Dokumentation und Behebung von Schwachstellen in der Lieferkette k\u00f6nnen erhebliche finanzielle Verluste und Reputationssch\u00e4den entstehen.<\/p>\n
Schlagw\u00f6rter: 742% + SolarWinds + SBOM<\/p>\n","protected":false},"excerpt":{"rendered":"
Um ihre Software-Sicherheit zu verbessern, m\u00fcssen Unternehmen drei wichtige Strategien ber\u00fccksichtigen, da sich Open-Source-Software verbreitet und Angriffe auf die Lieferkette h\u00e4ufiger werden. Da im letzten Jahr alarmierende Schwachstellen in der MOVEit- und 3CX-Software aufgetreten sind, sieht sich die Cybersicherheitsgemeinschaft mit einer immer gr\u00f6\u00dfer werdenden Krise von Angriffen auf die Software-Lieferkette...<\/p>\n","protected":false},"author":4,"featured_media":4006,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-4007","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/4007","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4007"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/4007\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/4006"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4007"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4007"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4007"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}