Illustration: Absmeier
Neue Untersuchung zeigt, dass 73 % der Unternehmen infolge von Log4Shell, SolarWinds und Kaseya deutlich mehr in die Sicherheit der Softwarelieferkette investiert haben. Die von der Enterprise Strategy Group durchgeführte Studie bestätigt, wie verbreitet Risiken in der Softwarelieferkette bei Cloud-nativen Anwendungen sind.
Synopsys hat eine neue Untersuchung veröffentlicht. Sie basiert auf einer kürzlich durchgeführten Umfrage von 350 Entscheidungsträgern aus den Bereichen Anwendungsentwicklung, Informationstechnologie und Cybersicherheit. Die Studie wurde von der Enterprise Strategy Group (ESG) durchgeführt und unter anderem von der Synopsys Software Integrity Group in Auftrag gegeben. Das zugehörige E-Book »Walking the Line: GitOps and Shift Left Security: Scalable, Developer-centric Supply Chain Security Solutions« bestätigt, dass Risiken für die Softwarelieferkette über Open Source hinausgehen.
73 % der Befragten haben als Reaktion auf Angriffe gegen die Softwarelieferkette wie Log4Shell, SolarWinds und Kaseya, ihre Bemühungen um die Sicherheit der Softwarelieferkette ihres Unternehmens erheblich verstärkt. Das spiegelt sich in einer Vielzahl von unterschiedlichen Sicherheitsinitiativen wider. Dazu zählen die Einführung von starker Multifaktor-Authentifizierungstechnologie (33 %), Investitionen in Maßnahmen zum Application Security Testing (32 %) und das Asset Discovery, um eine aktuelle Bestandsaufnahme hinsichtlich ihrer Angriffsfläche zu erhalten (30 %). Trotz dieser Bemühungen räumen 34 % der Organisationen ein, dass ihre Anwendungen in den letzten 12 Monaten aufgrund einer bekannten Open-Source-Software (OSS)- Schwachstelle ausgenutzt wurden, 28 % waren von einer bisher unbekannten («Zero-Day«) Schwachstelle betroffen.
In dem Maße, in dem die Nutzung von OSS steigt, ist sie natürlich in Anwendungen präsent. Der aktuelle Druck, das Risikomanagement für die Softwarelieferkette zu verbessern, hat die Software Bill of Materials (SBOM) in den Mittelpunkt des Interesses gerückt. Die Nutzung von Open Source Software ist explodiert, gleichzeitig bleibt das OSS-Management oft unzureichend. Aufgrund dessen ist es sehr komplex geworden, eine SBOM zu erstellen. Das bestätigt auch die ESG-Studie: 39 % der Umfrageteilnehmer sehen dies als eines der Probleme bei der Nutzung von Open Source Software.
»Unternehmen erfahren aus den Schlagzeilen, welche geschäftlichen Auswirkungen eine Schwachstelle in der Softwarelieferkette oder ein Sicherheitsverstoß haben können. Eine proaktive Sicherheitsstrategie hat jetzt oberste unternehmerische Priorität«, so Jason Schmitt, General Manager der Synopsys Software Integrity Group. »Open-Source-Risiken zu verwalten ist ein wichtiger Bestandteil innerhalb des Managements von Risiken innerhalb der Softwarelieferkette bei Cloud-nativen Anwendungen. Aber wir müssen erkennen, dass das Risiko über Open-Source-Komponenten hinausgeht. Infrastructure-as-Code, Container, APIs, Code Repositories – die Liste lässt sich beliebig fortsetzen. Will man einen ganzheitlichen Ansatz für die Sicherheit der Softwarelieferkette gewährleisten, gilt es, diese Liste vollständig zu berücksichtigen.«
Open Source Software mag das ursprüngliche Problem in der Lieferkette sein. Aber die Verlagerung hin zur Entwicklung von Cloud-nativen Anwendungen, hat Unternehmen veranlasst, sich über die Risiken Gedanken zu machen, die an zusätzlichen Knotenpunkte in ihrer Lieferkette bestehen.
Dies umfasst nicht nur zusätzliche Aspekte des Quellcodes, sondern auch wie Cloud-native Anwendungen gespeichert, verpackt und bereitgestellt werden und wie sie über Application Programming Interfaces (APIs) miteinander verbunden werden. Fast die Hälfte (45 %) der Befragten sieht in APIs den anfälligsten Angriffsvektor überhaupt, zusammen mit Repositories zur Datenspeicherung (42 %) und Application Container Images (34 %).
Nahezu alle Befragten (99 %) nutzen derzeit OSS oder planen, dies innerhalb der nächsten 12 Monate zu tun. Es bestehen aber Bedenken hinsichtlich der Wartung, Sicherheit und Vertrauenswürdigkeit dieser Open-Source-Projekte. Die größte Sorge betrifft aber das Ausmaß, in dem Open Source in der Anwendungsentwicklung zum Tragen kommt. 54 % der Befragten haben Bedenken ob »eines hohen Anteils von Open Source im Anwendungs-Code«.
Tim Mackey, Principal Security Strategist beim Synopsys Cybersecurity Research Center: »Vor dem Hintergrund der jüngsten US Presidential Executive Order (14028) zur Verbesserung der Cybersicherheit in den USA ist das Konzept der Software Bill of Materials (SBOM) von großem Interesse. Mithilfe einer SBOM wissen die Betreiber einer Software welche Komponenten von Drittanbietern in ihren Anwendungen enthalten sind. Egal ob es sich um Open Source Software, kommerzielle Software oder Software von beauftragten Dritten handelt. Dieses Wissen ist ganz entscheidend für die Entwicklung eines Patch-Management-Prozesses. Fehlt es, haben Sie nur einen unvollständigen Überblick über die in jeder Anwendung vorhandenen Softwarerisiken – unabhängig von deren Ursprung. Sobald die nächste Zero-Day-Schwachstelle in Log4Shell-Ausmaß auftritt (und das wird sie), können Unternehmen dank dieser Informationen schnell und effektiv handeln – und sich gegen Angriffe auf Softwarekomponenten von Dritten verteidigen.«
»Shifting Left«
Laut den Ergebnissen der Umfrage steigt der Stellenwert von Sicherheit und der Einsatz des »Shifting Left« (ein Konzept, das Entwicklern Sicherheitstests zu einem früheren Zeitpunkt im Entwicklungszyklus ermöglicht) bei der Cloud-nativen Anwendungsentwicklung nimmt zu. Dennoch waren 97 % der Unternehmen innerhalb der letzten 12 Monate von einen Sicherheitsvorfall im Zusammenhang mit Cloud-nativen Anwendungen betroffen.
Schnellere Release-Zyklen sind in Sachen Sicherheit für alle Teams eine Herausforderung. Anwendungsentwickler (41 %) und DevOps-Teams (45 %) sind sich einig, dass Entwickler häufig etablierte Sicherheitsprozesse überspringen, während die Mehrheit der Anwendungsentwickler (55 %) der Meinung ist, dass Sicherheitsteams keinen Einblick in die Entwicklungsprozesse haben. 68 Prozent der Befragten geben an, dass sie der Einführung von entwicklerorientierten Sicherheitslösungen und der Verlagerung einiger Sicherheitsaufgaben auf Entwickler hohe Priorität einräumen. Und dies, obwohl derzeit mehr Entwickler (45 %) für das Testen der Anwendungssicherheit verantwortlich sind als Sicherheitsteams (40 %). Die Wahrscheinlichkeit, dass diese Entwickler intern entwickelte oder Open-Source-Sicherheitstools verwenden, ist doppelt so hoch wie für spezialisierte Lösungen von Drittanbietern.
Gleichzeitig spielen Entwickler eine größere Rolle für die Sicherheit der Softwarelieferkette von Cloud-nativen Anwendungen. Aber nur 36 % der Sicherheitsteams sind einverstanden, dass Entwickler die Verantwortung für diese Tests übernehmen sollten. Die größten Hürden für entwicklergeführte Bemühungen bei der Anwendungssicherheit: Die Überlastung von Entwicklern durch zusätzliche Tools und Verantwortlichkeiten, die Beeinträchtigung von Innovation und Geschwindigkeit sowie die mangelnde Übersicht über die Sicherheitsbestrebungen insgesamt.
Wer an weiterführenden Details und Informationen zur Umfrage interessiert ist, findet sie im zugehörigen eBook »Walking the Line: GitOps and Shift Left Security: Scalable, Developer-centric Supply Chain Security Solutions” und in diesem Blogpost.