Softwarelieferketten abzusichern, ist angesichts der drohenden Folgen für alle Beteiligten unverzichtbar.OB KCP | shutterstock.com DevOps-Entscheider und Softwareentwickler sollten nicht der Illusion erliegen, mit einem Cybersecurity- oder Risk-Framework gegen sämtliche Taktiken krimineller Hacker gewappnet zu sein. Denn diese Frameworks beweisen „Mut zur Lücke“, wie Forscher von Yahoo und der North Carolina State University in einer aktuellen Untersuchung (PDF) herausgefunden haben. „Das Ziel dieser Studie ist es, die Anwender von Frameworks für die Softwarelieferkette dabei zu unterstützen, die Risiken von Angriffen zu minimieren“, konstatieren die Autoren. Dazu haben sie die Angriffstechniken, dreier berüchtigter Supply-Chain-Attacken mit den empfohlenen Tasks zehn verschiedener Frameworks gemappt – und herausgefunden, dass drei wesentliche Bereiche von keinem der Rahmenwerke abgedeckt werden. Deshalb haben die Studienautoren einen Maßnahmenkatalog für Softwareentwickler und -entscheider zusammengestellt. “Kein Framework ist perfekt” Für ihre Studie analysierten die Forscher insgesamt mehr als 100 Threat-Intelligence-Reports der schlagzeilenträchtigen Lieferketten-Angriffe auf, respektive über: SolarWinds, Log4j, und XZ Utils. Die daraus extrahierten Angriffstechniken stellten sie schließlich insgesamt 73 empfohlenen Tasks zehn verschiedener Frameworks gegenüber. Darunter unter anderem auch: NIST 800-161 OpenSSF Scorecard, CNCF SSC und OWASP SCVS. Die folgenden Prozesse der Datenanalyse und -korrelation beschreibt die oben verlinkte Studie eingehend – wir konzentrieren uns in diesem Artikel aus Längengründen darauf, was unter dem Strich herausgekommen ist. Nämlich die Erkenntnis, dass alle zehn Frameworks Lücken aufweisen. Demnach lassen sie drei wichtige Faktoren außen vor: zu gewährleisten, dass Open-Source-Software nachhaltig ist, Tools einzusetzen, die die IT-Umgebung scannen, sowie sicherzustellen, dass Softwarepartner ihre Schwachstellen reporten. Damit ist laut den Forschern keines der Rahmenwerke dazu in der Lage, sämtliche potenziellen Sicherheitslücken einer Softwareanwendung zu schließen: „Selbst wenn Unternehmen sämtliche empfohlenen Tasks verinnerlichen, wären ihre Softwareprodukte immer noch anfällig für Supply-Chain-Angriffe.“ Für Johannes Ullrich, Dean of Research beim SANS Institute, ist das nicht unbedingt eine Überraschung: „Kein Framework ist perfekt – die Softwarelieferkette lässt sich nicht isoliert absichern. Frameworks können einen Ausgangspunkt für eine Diskussion darüber liefern, wo Lücken bestehen und wie diese sich schließen lassen.“ Führen müssten diese Diskussion jedoch die DevOps-Entscheider im Unternehmen, so Ullrich. Das “Starterkit” für sichere Software Basierend auf ihren Erkenntnissen und Analysen haben die Studienautoren ein „Starterkit“ erstellt. Dabei handelt es sich um einen Katalog, der zehn essenzielle Maßnahmen umfasst, um Softwareprodukte allgemein abzusichern. Denn, „um Angriffe auf die Softwarelieferkette erfolgreich zu verhindern, müssen gängige Software-Security-Aufgaben adressiert werden“, wie die Forscher festhalten. Ihr Maßnahmenkatalog umfasst: rollenbasierte Zugriffskontrollen, System-Monitoring, Boundary Protection, Konfigurations-Monitoring, Environmental Scanning Tools, Security Design Reviews, Dependency Updates, Information Flow Enforcement, Schutz für Daten im Ruhezustand, sowie risikobasierte Schwachstellenbehebung. (fm) Sie wollen weitere interessante Beiträge zu diversen Themen aus der IT-Welt lesen? Unsere kostenlosen Newsletter liefern Ihnen alles, was IT-Profis wissen sollten – direkt in Ihre Inbox!
10 Präventivmaßnahmen gegen Supply-Chain-Angriffe
Softwarelieferketten abzusichern, ist angesichts der drohenden Folgen für alle Beteiligten unverzichtbar.OB KCP | shutterstock.com DevOps-Entscheider und Softwareentwickler sollten nicht der Illusion erliegen, mit einem Cybersecurity- oder Risk-Framework gegen sämtliche Taktiken krimineller Hacker gewappnet zu sein. Denn diese Frameworks beweisen „Mut zur Lücke“, wie Forscher von Yahoo und der North Carolina State University in einer aktuellen Untersuchung (PDF) herausgefunden haben. „Das Ziel dieser Studie ist es, die Anwender von Frameworks für die Softwarelieferkette dabei zu unterstützen, die Risiken von Angriffen zu minimieren“, konstatieren die Autoren. Dazu haben sie die Angriffstechniken, dreier berüchtigter Supply-Chain-Attacken mit den empfohlenen Tasks zehn verschiedener Frameworks gemappt – und herausgefunden, dass drei wesentliche Bereiche von keinem der Rahmenwerke abgedeckt werden. Deshalb haben die Studienautoren einen Maßnahmenkatalog für Softwareentwickler und -entscheider zusammengestellt. “Kein Framework ist perfekt” Für ihre Studie analysierten die Forscher insgesamt mehr als 100 Threat-Intelligence-Reports der schlagzeilenträchtigen Lieferketten-Angriffe auf, respektive über: SolarWinds, Log4j, und XZ Utils. Die daraus extrahierten Angriffstechniken stellten sie schließlich insgesamt 73 empfohlenen Tasks zehn verschiedener Frameworks gegenüber. Darunter unter anderem auch: NIST 800-161 OpenSSF Scorecard, CNCF SSC und OWASP SCVS. Die folgenden Prozesse der Datenanalyse und -korrelation beschreibt die oben verlinkte Studie eingehend – wir konzentrieren uns in diesem Artikel aus Längengründen darauf, was unter dem Strich herausgekommen ist. Nämlich die Erkenntnis, dass alle zehn Frameworks Lücken aufweisen. Demnach lassen sie drei wichtige Faktoren außen vor: zu gewährleisten, dass Open-Source-Software nachhaltig ist, Tools einzusetzen, die die IT-Umgebung scannen, sowie sicherzustellen, dass Softwarepartner ihre Schwachstellen reporten. Damit ist laut den Forschern keines der Rahmenwerke dazu in der Lage, sämtliche potenziellen Sicherheitslücken einer Softwareanwendung zu schließen: „Selbst wenn Unternehmen sämtliche empfohlenen Tasks verinnerlichen, wären ihre Softwareprodukte immer noch anfällig für Supply-Chain-Angriffe.“ Für Johannes Ullrich, Dean of Research beim SANS Institute, ist das nicht unbedingt eine Überraschung: „Kein Framework ist perfekt – die Softwarelieferkette lässt sich nicht isoliert absichern. Frameworks können einen Ausgangspunkt für eine Diskussion darüber liefern, wo Lücken bestehen und wie diese sich schließen lassen.“ Führen müssten diese Diskussion jedoch die DevOps-Entscheider im Unternehmen, so Ullrich. Das “Starterkit” für sichere Software Basierend auf ihren Erkenntnissen und Analysen haben die Studienautoren ein „Starterkit“ erstellt. Dabei handelt es sich um einen Katalog, der zehn essenzielle Maßnahmen umfasst, um Softwareprodukte allgemein abzusichern. Denn, „um Angriffe auf die Softwarelieferkette erfolgreich zu verhindern, müssen gängige Software-Security-Aufgaben adressiert werden“, wie die Forscher festhalten. Ihr Maßnahmenkatalog umfasst: rollenbasierte Zugriffskontrollen, System-Monitoring, Boundary Protection, Konfigurations-Monitoring, Environmental Scanning Tools, Security Design Reviews, Dependency Updates, Information Flow Enforcement, Schutz für Daten im Ruhezustand, sowie risikobasierte Schwachstellenbehebung. (fm) Sie wollen weitere interessante Beiträge zu diversen Themen aus der IT-Welt lesen? Unsere kostenlosen Newsletter liefern Ihnen alles, was IT-Profis wissen sollten – direkt in Ihre Inbox!
10 Präventivmaßnahmen gegen Supply-Chain-Angriffe Softwarelieferketten abzusichern, ist angesichts der drohenden Folgen für alle Beteiligten unverzichtbar.OB KCP | shutterstock.com DevOps-Entscheider und Softwareentwickler sollten nicht der Illusion erliegen, mit einem Cybersecurity- oder Risk-Framework gegen sämtliche Taktiken krimineller Hacker gewappnet zu sein. Denn diese Frameworks beweisen „Mut zur Lücke“, wie Forscher von Yahoo und der North Carolina State University in einer aktuellen Untersuchung (PDF) herausgefunden haben. „Das Ziel dieser Studie ist es, die Anwender von Frameworks für die Softwarelieferkette dabei zu unterstützen, die Risiken von Angriffen zu minimieren“, konstatieren die Autoren. Dazu haben sie die Angriffstechniken, dreier berüchtigter Supply-Chain-Attacken mit den empfohlenen Tasks zehn verschiedener Frameworks gemappt – und herausgefunden, dass drei wesentliche Bereiche von keinem der Rahmenwerke abgedeckt werden. Deshalb haben die Studienautoren einen Maßnahmenkatalog für Softwareentwickler und -entscheider zusammengestellt. “Kein Framework ist perfekt” Für ihre Studie analysierten die Forscher insgesamt mehr als 100 Threat-Intelligence-Reports der schlagzeilenträchtigen Lieferketten-Angriffe auf, respektive über: SolarWinds, Log4j, und XZ Utils. Die daraus extrahierten Angriffstechniken stellten sie schließlich insgesamt 73 empfohlenen Tasks zehn verschiedener Frameworks gegenüber. Darunter unter anderem auch: NIST 800-161 OpenSSF Scorecard, CNCF SSC und OWASP SCVS. Die folgenden Prozesse der Datenanalyse und -korrelation beschreibt die oben verlinkte Studie eingehend – wir konzentrieren uns in diesem Artikel aus Längengründen darauf, was unter dem Strich herausgekommen ist. Nämlich die Erkenntnis, dass alle zehn Frameworks Lücken aufweisen. Demnach lassen sie drei wichtige Faktoren außen vor: zu gewährleisten, dass Open-Source-Software nachhaltig ist, Tools einzusetzen, die die IT-Umgebung scannen, sowie sicherzustellen, dass Softwarepartner ihre Schwachstellen reporten. Damit ist laut den Forschern keines der Rahmenwerke dazu in der Lage, sämtliche potenziellen Sicherheitslücken einer Softwareanwendung zu schließen: „Selbst wenn Unternehmen sämtliche empfohlenen Tasks verinnerlichen, wären ihre Softwareprodukte immer noch anfällig für Supply-Chain-Angriffe.“ Für Johannes Ullrich, Dean of Research beim SANS Institute, ist das nicht unbedingt eine Überraschung: „Kein Framework ist perfekt – die Softwarelieferkette lässt sich nicht isoliert absichern. Frameworks können einen Ausgangspunkt für eine Diskussion darüber liefern, wo Lücken bestehen und wie diese sich schließen lassen.“ Führen müssten diese Diskussion jedoch die DevOps-Entscheider im Unternehmen, so Ullrich. Das “Starterkit” für sichere Software Basierend auf ihren Erkenntnissen und Analysen haben die Studienautoren ein „Starterkit“ erstellt. Dabei handelt es sich um einen Katalog, der zehn essenzielle Maßnahmen umfasst, um Softwareprodukte allgemein abzusichern. Denn, „um Angriffe auf die Softwarelieferkette erfolgreich zu verhindern, müssen gängige Software-Security-Aufgaben adressiert werden“, wie die Forscher festhalten. Ihr Maßnahmenkatalog umfasst: rollenbasierte Zugriffskontrollen, System-Monitoring, Boundary Protection, Konfigurations-Monitoring, Environmental Scanning Tools, Security Design Reviews, Dependency Updates, Information Flow Enforcement, Schutz für Daten im Ruhezustand, sowie risikobasierte Schwachstellenbehebung. (fm) Sie wollen weitere interessante Beiträge zu diversen Themen aus der IT-Welt lesen? Unsere kostenlosen Newsletter liefern Ihnen alles, was IT-Profis wissen sollten – direkt in Ihre Inbox!