ClickCease Angriffe auf die Lieferkette - Risikowahrnehmung und Realität

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Angriffe auf die Lieferkette - Risikowahrnehmung und Realität

Joao Correia

Oktober 31, 2023 - Technischer Evangelist

Angriffe auf die Lieferkette haben in den letzten Jahren stark zugenommen und entwickeln sich allmählich zu einer ernstzunehmenden Bedrohung für die Cybersicherheit. Doch trotz ihrer zunehmenden Verbreitung scheint es eine Diskrepanz zwischen der Wahrnehmung und der Realität ihres potenziellen Schadens zu geben. Eine überwältigende Anzahl von Entwicklern vertritt die Mentalität, dass ihre Codebasis sicher und unangreifbar ist. Die tatsächlichen Messwerte erzählen jedoch eine konträre Geschichte, die zeigt, dass viele Software aufgrund von Schwachstellen, die aus Abhängigkeiten resultieren, anfällig ist.

 

Das unsichtbare Netz der Abhängigkeiten

 

Wenn Entwickler eine Bibliothek in ihren Code integrieren, sind sie sich selten der Kette von Abhängigkeiten bewusst, die sich unbemerkt mit ihrer Software verflechten. Eine einzige Bibliothek kann eine Vielzahl anderer Abhängigkeiten mit sich bringen, von denen jede ihre eigene Reihe von Schwachstellen mit sich bringt.

 

Nach Angaben von Sonatypewiesen zwar nur 10 % von über 12.000 Bibliotheken eine Schwachstelle in ihrem eigenen Code auf, doch wenn man transitive Schwachstellen aus Abhängigkeiten berücksichtigt, steigt die Zahl auf 62 %. Dieses Szenario, das oft unterschätzt oder übersehen wird, setzt Software einer Vielzahl unsichtbarer Bedrohungen aus und macht sie zu einem idealen Ziel für Angriffe auf die Lieferkette.

 

Ein Trugbild der Sicherheit

 

Ironischerweise glaubt ein großer Teil der Entwickler, dass ihre Anwendungen keine anfälligen Bibliotheken verwenden, obwohl die Bedrohungen sehr groß sind. Die Umfrage von Sonatype ergab, dass 68 % der Entwickler davon überzeugt waren, dass ihre Anwendungen keine bekannten anfälligen Bibliotheken verwenden. Ein Realitätscheck durch einen Scan von 55.000 Unternehmensanwendungen zeigte jedoch, dass 68 % von ihnen tatsächlich bekannte Schwachstellen aufwiesen.

 

Diese eklatante Diskrepanz zwischen Wahrnehmung und Realität wirft eine entscheidende Frage auf: Warum sind Entwickler blind für die Risiken, die in ihrem Code lauern?

 

Die Illusion "Das wird mir nicht passieren

 

Diese Ungleichheit wird oft durch eine implizite Voreingenommenheit genährt, bei der Entwickler und sogar IT-Manager ihren Code und ihre Praktiken als überdurchschnittlich gut einschätzen. Das "Das wird mir nicht passieren"-Syndrom schlägt Wurzeln und setzt einen Kreislauf aus Unterschätzung der Risiken und übermäßigem Vertrauen in die internen Verfahren fort. 

 

Darüber hinaus wird die Komplexität der Verwaltung und Verfolgung des umfangreichen Netzes von Abhängigkeiten, Updates und Schwachstellen zu einer entmutigenden Aufgabe. Da jede Java-Anwendung im Durchschnitt 148 Abhängigkeiten enthält (20 mehr als im Vorjahr) und 10 Mal pro Jahr aktualisiert wird, müssen die Entwickler jährlich fast 1500 Abhängigkeitsänderungen pro Anwendung verwalten.

 

Die Gefahr der Nachlässigkeit

 

Inmitten all dessen nimmt die Bedrohung durch bösartige Open-Source-Pakete bedrohlich zu. Satte 88.000 bösartige Open-Source-Pakete (und Versionen davon) wurden in einem einzigen Jahr aufgedecktDies deutet darauf hin, dass die Gefahr für Unternehmenssysteme aufgrund von absichtlichen und unabsichtlichen Schwachstellen immer größer wird. Diese Zunahme bösartiger Aktivitäten ist ein Beleg für die verstärkte Nutzung von Open-Source-Paketen durch Entwicklungsteams, die die Markteinführung beschleunigen wollen - oft auf Kosten einer gründlichen Sicherheitsüberprüfung.

 

Das Paradigma ändern: Entschärfung unsichtbarer Risiken

 

Die Abschwächung dieser Risiken erfordert einen Paradigmenwechsel in der Herangehensweise von Entwicklern und Unternehmen an die Softwareentwicklung und -sicherheit:

 

  • Erkenne das Unsichtbare: Entwickler und Unternehmen müssen zunächst die potenziellen Bedrohungen erkennen, die sich in den Abhängigkeiten der von ihnen verwendeten Bibliotheken verbergen.

 

  • Transparentes Verwalten von Abhängigkeiten: Der Einsatz von Tools und Praktiken, die die Sichtbarkeit und Verwaltung von Abhängigkeiten gewährleisten, ermöglicht es Entwicklern, sich einen klaren Überblick über alle integrierten Bibliotheken und ihre jeweiligen Abhängigkeiten zu verschaffen.

 

  • Sicherheit priorisieren: Bei der Auswahl der Komponenten sollte der Sicherheit Vorrang eingeräumt werden, auch wenn dies bedeutet, dass man sich für ein weniger beliebtes Projekt mit weniger Schwachstellen und einem kleineren Abhängigkeitsbaum entscheidet.

 

  • Proaktive Sicherheitsmaßnahmen einführen: Es ist ratsam, einer vertrauenswürdigen Quelle für Ihre Abhängigkeiten den Vorzug vor beliebten, aber nicht überprüften Repositories zu geben. Dienste wie TuxCare's SecureChain für Java bieten genau diese Funktion.

 

  • Kontinuierliche Überwachung und Aktualisierung: Die kontinuierliche Überwachung von Abhängigkeiten auf Schwachstellen und die regelmäßige Aktualisierung von Bibliotheken helfen, die Software vor potenziellen Bedrohungen zu schützen.

 

Da sich die Bedrohungslandschaft ständig weiterentwickelt, ist es unumgänglich, die unsichtbaren Risiken zu erkennen und robuste Sicherheitspraktiken in den Entwicklungszyklus zu integrieren. Selbstüberschätzung und Unterschätzung führen zu einer Art selektiver Blindheit, die Angreifer gerade lange genug abschirmt, um die Produktionssoftware aktiv zu schädigen, und die aktiv vermieden werden sollte, um Software vor den wachsenden Bedrohungen durch Angriffe in der Lieferkette zu schützen. 

 

Sowohl Entwickler als auch Unternehmen müssen mit einem wachsamen Auge durch das komplizierte Netz von Abhängigkeiten navigieren und sicherstellen, dass ihr Code inmitten der versteckten Gefahren, die auf der Lauer liegen, sicher bleibt.

Zusammenfassung
Angriffe auf die Lieferkette - Risikowahrnehmung und Realität
Artikel Name
Angriffe auf die Lieferkette - Risikowahrnehmung und Realität
Beschreibung
In diesem Artikel erfahren Sie mehr über die Diskrepanz zwischen der Wahrnehmung von Angriffen auf die Versorgungskette und der Realität des potenziellen Schadens.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter