ClickCease Die gefährlichen Zahlen hinter den Angriffen auf die Lieferkette

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Die gefährlichen Zahlen hinter den Angriffen auf die Lieferkette

Joao Correia

Oktober 23, 2023 - Technischer Evangelist

Angriffe auf die Lieferkette haben in den letzten Jahren einen rasanten Anstieg erlebt und sich zu einer gewaltigen Bedrohung für die Cyberlandschaft entwickelt. In einer Zeit, in der Unternehmen zunehmend auf Software von Drittanbietern und Open-Source-Komponenten angewiesen sind, haben sich Angriffe auf die Lieferkette als praktikable und heimtückische Möglichkeit für Angreifer erwiesen, Schwachstellen in weit verbreiteter Software auszunutzen und zahlreiche Unternehmen gleichzeitig zu schädigen.

 

Eine wachsende Bedrohung: Wachstum und Auswirkungen

 

Der Anstieg der Angriffe auf die Software-Lieferkette ist nicht nur hypothetisch, sondern wird durch alarmierende Statistiken belegt. Zwischen 2019 und 2022 sind die Angriffe auf die Software-Lieferkette um erstaunliche 742 % angestiegenund 2023 wird voraussichtlich ein neuer Rekord aufgestellt.

 

Der Rückgriff auf Software von Drittanbietern und Open-Source-Komponenten ist zwar für die betriebliche Flexibilität und die Verkürzung der Entwicklungszeiten von entscheidender Bedeutung, birgt aber auch erhebliche Risiken. Aufgrund dieser Abhängigkeit von externem Code, der von mehreren Unternehmen und für verschiedene Anwendungen verwendet wird, kann ein Angriff auf eine Basisbibliothek schnell zu Tausenden von verwundbaren Software-Stacks führen, wie das jüngste Beispiel der WebP-Sicherheitslücke.

 

Das inhärente Risiko bei Software von Drittanbietern

 

Die weit verbreitete Verwendung von Software von Drittanbietern öffnet die Büchse der Pandora mit ihren Risiken und Herausforderungen. Nach Angaben von Gartner arbeiten 60 % der Unternehmen mit mehr als 1.000 Drittanbietern zusammenund bieten damit zahlreiche potenzielle Einfallstore für Angreifer.

 

Fälle wie die Sicherheitsverletzung bei JP Morgan Chase, bei der aufgrund einer Schwachstelle in der Website eines Drittanbieters die Benutzernamen und Passwörter von Millionen von Konten offengelegt wurden, unterstreichen die greifbaren Risiken und die enormen Auswirkungen solcher Angriffe.

 

Die Schande von Log4j

 

Die Log4j-Schwachstelle oder Log4Shell ist ein Beispiel dafür, wie eine einzige Schwachstelle in einer weit verbreiteten Open-Source-Bibliothek zu einer globalen Cyber-Sicherheitskrise führen kann. Diese Schwachstelle war nicht nur in den direkten Abhängigkeiten vorhanden, sondern auch in rund 17.000 Java-Paketen, die im Maven Central Repository als direkte oder transitive Abhängigkeit gehostet werden. Trotz umfangreicher Patching-Bemühungen bleiben viele Instanzen ungepatcht, was ein ständiges Risiko für Unternehmen auf der ganzen Welt darstellt.

 

Die Komplexität von Abhängigkeitsnetzen

 

Abhängigkeiten in Software-Lieferketten bringen zusätzliche Komplexitäts- und Risikoebenen mit sich. Durch diese Abhängigkeiten bedingte transitive Schwachstellen haben ein noch nie dagewesenes Ausmaß erreicht und betreffen zwei Drittel der Open-Source-Bibliotheken.

 

Der Log4Shell-Vorfall hat deutlich gemacht, wie wichtig es ist, diese komplizierten Lieferketten zu kennen und zu verstehen, da fehlende Kenntnisse über ihre Herkunft und Abhängigkeiten die Bemühungen zur Behebung von Schwachstellen erheblich behindern können.

 

Die Eskalation in Zahlen und Techniken

 

Laut einem Bericht von Sonatypeist die Zahl der dokumentierten Angriffe auf die Lieferkette mit bösartigen Komponenten von Drittanbietern innerhalb eines Jahres um 633 % auf über 88.000 bekannte Fälle gestiegen. Die Angriffstechniken haben sich diversifiziert: Abhängigkeitsverwirrung, Typosquatting, Brandjacking, Einschleusen von bösartigem Code und sogar Protestsoftware stellen Cybersecurity-Experten vor neue Herausforderungen und Überlegungen.

 

Das Rätsel der Abhängigkeitsverwirrung

 

Angriffe auf Abhängigkeitsverwirrungen haben seit ihrer Offenlegung im Februar 2021 besonders an Bedeutung gewonnen. Diese Technik nutzt das Verhalten von Paketverwaltungs-Clients aus und verleitet sie dazu, bösartige Pakete mit höheren Versionsnummern aus öffentlichen Repositories anstelle von legitimen Paketen in internen Repositories zu verwenden. Dies unterstreicht die Notwendigkeit für Unternehmen, die Namen ihrer privaten Pakete in öffentlichen Repositories zu registrieren oder eindeutige Präfixe zu verwenden, um derartige Risiken zu mindern.

 

Verstärkte Verteidigung gegen Angriffe auf die Lieferkette

 

Die Erkennung und Behebung von Schwachstellen ist das Kernstück einer soliden Verteidigungsstrategie gegen Angriffe auf die Lieferkette. Es ist nicht realistisch, zu erwarten, dass jede einzelne Abhängigkeit bei jeder Aktualisierung überprüft wird, und jede Abhängigkeit von dieser Abhängigkeit in der Kette. 

 

Es stehen nicht genügend Ressourcen zur Verfügung, um diese Aufgabe kontinuierlich auszuführen, wie es für einen angemessenen Schutz erforderlich wäre. Und selbst dann wäre es leicht, Probleme zu übersehen, die zu Sicherheitsproblemen führen könnten, so wie wir bei den Anwendungen immer wieder Patches zur Fehlerbehebung einspielen.

 

Eine Alternative ist, sich auf vertrauenswürdige Repositories für Ihre Abhängigkeiten zu verlassen, die diese Prüfung für Sie durchführen. Dienste wie SecureChain für Javavon TuxCare bieten genau das - eine kuratierte, aktualisierte und zuverlässige Quelle für die Abhängigkeiten Ihrer Java-Bibliotheken, die das Risiko reduziert, fehlerhafte oder gefährdete Abhängigkeiten aus öffentlichen oder nicht vertrauenswürdigen Quellen zu beziehen.

 

Die gefährlichen Zahlen hinter den Angriffen auf die Lieferkette zeichnen ein ernüchterndes Bild der Cyber-Bedrohungslandschaft. Die Diversifizierung und Raffinesse der Angriffstechniken erfordern einen Paradigmenwechsel von der reinen Prävention hin zu proaktiven Erkennungs- und Eindämmungsstrategien. Unternehmen müssen einen ganzheitlichen, sachkundigen und anpassungsfähigen Ansatz verfolgen, um sich in diesem komplizierten Netz von Schwachstellen und Abhängigkeiten zurechtzufinden und ihre digitalen Werte und ihre betriebliche Integrität vor der aufkeimenden Welle von Angriffen auf die Lieferkette zu schützen.

Zusammenfassung
Die gefährlichen Zahlen hinter den Angriffen auf die Lieferkette
Artikel Name
Die gefährlichen Zahlen hinter den Angriffen auf die Lieferkette
Beschreibung
Erfahren Sie mehr über die Angriffe auf die Lieferkette, die sich für Angreifer als praktikabler und heimtückischer Vektor zur Ausnutzung von Schwachstellen erwiesen haben
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter