Venafi-Umfrage zur Anfälligkeit der Software Supply Chains CEOs verlangen bessere Absicherung der Softwarelieferketten

Quelle: Pressemitteilung

Anbieter zum Thema

Die Umstellung auf Cloud-native Entwicklung und die erhöhte Entwicklungsgeschwindigkeit durch die Einführung von DevOps-Prozessen haben die Herausforderungen im Zusammenhang mit der Sicherung von Software-Lieferketten deutlich verkompliziert. Zugleich verstärken Angreifer, motiviert durch den Erfolg aufsehenerregender Angriffe auf Unternehmen wie Solarwinds und Kaseya, ihre Angriffe auf Software-Entwicklungs- und -Verteilungsumgebungen.

Die Kunst besteht nicht nur darin zu erkennen, ob in der Softwarelieferkette etwas faul ist, sondern auch zu verhindern, dass infiltrierte, manipulierte Glieder in den Anwendungsprozess gelangen.
Die Kunst besteht nicht nur darin zu erkennen, ob in der Softwarelieferkette etwas faul ist, sondern auch zu verhindern, dass infiltrierte, manipulierte Glieder in den Anwendungsprozess gelangen.
(Bild: Venafi)

Offenbar sind sich die Verantwortlichen für Software-Erstellung und -Deployment der Gefahren durchaus bewusst. Venafi, Anbieter eines Managements von Maschinenidentitäten, präsentiert nun die Ergebnisse einer weltweiten Studie „CIO Study: Software Build Pipelines Attack Surface Expanding | Current Security Controls No Match for Modern Attack Methods“ unter 1.000 CIOs. Demnach sagen 82 Prozent der CIOs, dass ihre Software-Lieferketten anfällig sind für Cyber-Angriffe.

Laut Venafi hat eine starke Zunahme der Anzahl und Raffinesse dieser Angriffe in den vergangenen zwölf Monaten die Aufmerksamkeit von CEOs und Vorständen auf sich gezogen. Infolgedessen sind CIOs zunehmend besorgt über die schwerwiegenden Geschäftsunterbrechungen, Umsatzeinbußen, Datendiebstahl und Kundenschäden, die sich aus erfolgreichen Angriffen auf die Software Supply Chain ergeben können.

Kevin Bocek ist Vice President of Threat Intelligence and Business Development bei Venafi.
Kevin Bocek ist Vice President of Threat Intelligence and Business Development bei Venafi.
(Bild: Venafi)

Kevin Bocek, Vice President of Threat Intelligence and Business Development bei Venafi, beschreibt das Problem: „Die digitale Transformation hat jedes Unternehmen zu einem Software-Entwickler gemacht. Das hat zur Folge, dass Umgebungen für die Software-Entwicklung zu einem großen Ziel für Angreifer geworden sind. Hacker haben entdeckt, dass erfolgreiche Angriffe auf die Supply Chain, insbesondere solche, die auf Maschinenidentitäten abzielen, extrem effizient und profitabel sind.“

Ergänzendes zum Thema
Über Venafi, Jetstack und die Studie

Venafi ist im Bereich Identitäts-Management für Maschinen unterwegs. Von On-Premise bis zur Cloud verwalten und schützen die Produkte Identitäten für alle Arten von Maschinen – von physischen und IoT-Geräten bis hin zu Software-Anwendungen, APIs und Containern. Venafi bietet globale Transparenz, Lebenszyklusautomatisierung.

Mit mehr als 30 Patenten liefert Venafi innovative Lösungen für das Management von Maschinenidentitäten für die anspruchsvollsten und sicherheitsbewusstesten Unternehmen und Behörden der Welt, darunter die fünf größten US-Krankenversicherer, die fünf größten US-Fluggesellschaften, die vier größten Kreditkartenaussteller, drei der vier größten Buchhaltungs- und Beratungsunternehmen, vier der fünf größten US-Einzelhändler und die vier größten Banken in den USA, Großbritannien, Australien und Südafrika.

Jetstack, ein Open-Source-Pionier und ein Unternehmen von Venafi, bietet Cloud-native Produkte , etwa „Cert-Manager“, und strategische Beratung für Unternehmen, die Kubernetes und OpenShift nutzen oder nutzen wollen. Die Open-Source-Produkte und -Lösungen von Jetstack schützen die Anwendungsumgebungen und Plattforminfrastrukturen globaler Banken, multinationaler Einzelhandelsunternehmen und Verteidigungsorganisationen, indem sie den Plattform- und Sicherheitsteams von Unternehmen die Möglichkeit bieten, ihre Cloud-Infrastrukturen aufzubauen, zu skalieren und zu sichern.

Die Umfrage

Die von Coleman Parkes Research durchgeführte Umfrage von Venafi wertete die Meinungen von 1.000 CIOs aus sechs Ländern/Regionen aus: Vereinigte Staaten, Großbritannien, Frankreich, DACH (Deutschland, Österreich, Schweiz), Benelux (Belgien, Niederlande, Luxemburg) und Australasien (Australien, Neuseeland).

Auch Maschinendaten sind im Blickfeld der Kriminellen

So ermittelt die Studie auch, dass

  • 87 Prozent der CIOs glauben, dass Softwareingenieure und -entwickler Kompromisse bei den Sicherheitsrichtlinien und -kontrollen eingehen, um neue Produkte und Dienstleistungen schneller auf den Markt zu bringen;
  • 85 Prozent der CIOs vom Vorstand oder CEO ausdrücklich angewiesen worden sind, die Sicherheit von Software-Entwicklungs- und -Verteilungsumgebungen zu verbessern.
  • 84 Prozent angeben, dass das für die Sicherheit von Software-Entwicklungsumgebungen bereitgestellte Budget im letzten Jahr gestiegen ist.

Bocek hat buchstäblich Dutzende von Möglichkeiten beobachtet, Entwicklungsumgebungen bei dieser Art von Angriffen zu kompromittieren, einschließlich Angriffen, die Open-Source-Softwarekomponenten wie „Log4j“ nutzen. „Die Realität ist, dass sich Entwickler eher auf Innovation und Geschwindigkeit als auf Sicherheit konzentrieren“, erklärt Bocek. „Leider haben die Sicherheitsteams selten das Wissen oder die Ressourcen, um den Entwicklern bei der Lösung dieser Probleme zu helfen, und die CIOs werden sich dieser Herausforderungen gerade erst bewusst.“

Mehr als 90 Prozent der Software-Anwendungen verwenden Open-Source-Komponenten, und die mit Open-Source-Software verbundenen Abhängigkeiten und Schwachstellen sind äußerst komplex. CI/CD- und DevOps-Pipelines sind in der Regel so strukturiert, dass sie den Entwicklern schnelle Fortschritte ermöglichen, aber nicht unbedingt sicherer sind. Die Komplexität von Open Source und die Geschwindigkeit der Entwicklung schränken die Wirksamkeit von Sicherheitskontrollen in der Software Supply Chain ein, da Innovationen immer schneller umgesetzt werden sollen.

Hudelei und systemimmanente Probleme

CIOs erkennen, dass sie ihren Ansatz ändern müssen, um diese Herausforderungen zu bewältigen. Ergebnisse der Studie hierzu:

  • 68 Prozent implementieren mehr Sicherheitskontrollen
  • 57 Prozent aktualisieren ihre Überprüfungsprozesse
  • 56 Prozent weiten den Einsatz von Code Signing aus, einer wichtigen Sicherheitskontrolle für Software-Lieferketten
  • 47 Prozent prüfen die Herkunft ihrer Open-Source-Bibliotheken

„CIOs wissen, dass sie die Sicherheit in der Software Supply Chain verbessern müssen, aber es ist extrem schwierig, genau zu bestimmen, wo die Risiken liegen, welche Verbesserungen die Sicherheit am stärksten erhöhen und wie diese Änderungen das Risiko im Laufe der Zeit verringern“, erläutert Bocek weiter. „Wir können dieses Problem nicht mit den bestehenden Methoden lösen. Stattdessen müssen wir anders über die Identität und Integrität des Codes nachdenken, den wir erstellen und verwenden, und wir müssen ihn in jedem Schritt des Entwicklungsprozesses mit Maschinengeschwindigkeit schützen und sichern.“

Artikelfiles und Artikellinks

(ID:48482396)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung