Die Umstellung auf Cloud-native Entwicklung und DevOps-Prozesse haben die Herausforderungen bei der Sicherung von Software-Lieferketten deutlich verkompliziert. Zugleich verstärken Angreifer ihre Angriffe auf Software-Entwicklungs- und -Verteilungsumgebungen.
Die Kunst besteht nicht nur darin zu erkennen, ob in der Softwarelieferkette etwas faul ist, sondern auch zu verhindern, dass infiltrierte, manipulierte Glieder in den Anwendungsprozess gelangen.
Laut Venafi hat eine starke Zunahme der Anzahl und Raffinesse dieser Angriffe in den vergangenen zwölf Monaten die Aufmerksamkeit von CEOs und Vorständen auf sich gezogen. Infolgedessen sind CIOs zunehmend besorgt über die schwerwiegenden Geschäftsunterbrechungen, Umsatzeinbußen, Datendiebstahl und Kundenschäden, die sich aus erfolgreichen Angriffen auf die Software Supply Chain ergeben können.
Kevin Bocek ist Vice President of Threat Intelligence and Business Development bei Venafi.
(Bild: Venafi)
Kevin Bocek, Vice President of Threat Intelligence and Business Development bei Venafi, beschreibt das Problem: „Die digitale Transformation hat jedes Unternehmen zu einem Software-Entwickler gemacht. Das hat zur Folge, dass Umgebungen für die Software-Entwicklung zu einem großen Ziel für Angreifer geworden sind. Hacker haben entdeckt, dass erfolgreiche Angriffe auf die Supply Chain, insbesondere solche, die auf Maschinenidentitäten abzielen, extrem effizient und profitabel sind.“
%boxheader%
Über Venafi, Jetstack und die Studie
Venafi ist im Bereich Identitäts-Management für Maschinen unterwegs. Von On-Premise bis zur Cloud verwalten und schützen die Produkte Identitäten für alle Arten von Maschinen – von physischen und IoT-Geräten bis hin zu Software-Anwendungen, APIs und Containern. Venafi bietet globale Transparenz, Lebenszyklusautomatisierung.
Mit mehr als 30 Patenten liefert Venafi innovative Lösungen für das Management von Maschinenidentitäten für die anspruchsvollsten und sicherheitsbewusstesten Unternehmen und Behörden der Welt, darunter die fünf größten US-Krankenversicherer, die fünf größten US-Fluggesellschaften, die vier größten Kreditkartenaussteller, drei der vier größten Buchhaltungs- und Beratungsunternehmen, vier der fünf größten US-Einzelhändler und die vier größten Banken in den USA, Großbritannien, Australien und Südafrika.
Jetstack, ein Open-Source-Pionier und ein Unternehmen von Venafi, bietet Cloud-native Produkte , etwa „Cert-Manager“, und strategische Beratung für Unternehmen, die Kubernetes und OpenShift nutzen oder nutzen wollen. Die Open-Source-Produkte und -Lösungen von Jetstack schützen die Anwendungsumgebungen und Plattforminfrastrukturen globaler Banken, multinationaler Einzelhandelsunternehmen und Verteidigungsorganisationen, indem sie den Plattform- und Sicherheitsteams von Unternehmen die Möglichkeit bieten, ihre Cloud-Infrastrukturen aufzubauen, zu skalieren und zu sichern.
Die Umfrage
Die von Coleman Parkes Research durchgeführte Umfrage von Venafi wertete die Meinungen von 1.000 CIOs aus sechs Ländern/Regionen aus: Vereinigte Staaten, Großbritannien, Frankreich, DACH (Deutschland, Österreich, Schweiz), Benelux (Belgien, Niederlande, Luxemburg) und Australasien (Australien, Neuseeland).
Auch Maschinendaten sind im Blickfeld der Kriminellen
So ermittelt die Studie auch, dass
87 Prozent der CIOs glauben, dass Softwareingenieure und -entwickler Kompromisse bei den Sicherheitsrichtlinien und -kontrollen eingehen, um neue Produkte und Dienstleistungen schneller auf den Markt zu bringen;
85 Prozent der CIOs vom Vorstand oder CEO ausdrücklich angewiesen worden sind, die Sicherheit von Software-Entwicklungs- und -Verteilungsumgebungen zu verbessern.
84 Prozent angeben, dass das für die Sicherheit von Software-Entwicklungsumgebungen bereitgestellte Budget im letzten Jahr gestiegen ist.
Bocek hat buchstäblich Dutzende von Möglichkeiten beobachtet, Entwicklungsumgebungen bei dieser Art von Angriffen zu kompromittieren, einschließlich Angriffen, die Open-Source-Softwarekomponenten wie „Log4j“ nutzen. „Die Realität ist, dass sich Entwickler eher auf Innovation und Geschwindigkeit als auf Sicherheit konzentrieren“, erklärt Bocek. „Leider haben die Sicherheitsteams selten das Wissen oder die Ressourcen, um den Entwicklern bei der Lösung dieser Probleme zu helfen, und die CIOs werden sich dieser Herausforderungen gerade erst bewusst.“
Mehr als 90 Prozent der Software-Anwendungen verwenden Open-Source-Komponenten, und die mit Open-Source-Software verbundenen Abhängigkeiten und Schwachstellen sind äußerst komplex. CI/CD- und DevOps-Pipelines sind in der Regel so strukturiert, dass sie den Entwicklern schnelle Fortschritte ermöglichen, aber nicht unbedingt sicherer sind. Die Komplexität von Open Source und die Geschwindigkeit der Entwicklung schränken die Wirksamkeit von Sicherheitskontrollen in der Software Supply Chain ein, da Innovationen immer schneller umgesetzt werden sollen.
Hudelei und systemimmanente Probleme
CIOs erkennen, dass sie ihren Ansatz ändern müssen, um diese Herausforderungen zu bewältigen. Ergebnisse der Studie hierzu:
68 Prozent implementieren mehr Sicherheitskontrollen
57 Prozent aktualisieren ihre Überprüfungsprozesse
56 Prozent weiten den Einsatz von Code Signing aus, einer wichtigen Sicherheitskontrolle für Software-Lieferketten
47 Prozent prüfen die Herkunft ihrer Open-Source-Bibliotheken
„CIOs wissen, dass sie die Sicherheit in der Software Supply Chain verbessern müssen, aber es ist extrem schwierig, genau zu bestimmen, wo die Risiken liegen, welche Verbesserungen die Sicherheit am stärksten erhöhen und wie diese Änderungen das Risiko im Laufe der Zeit verringern“, erläutert Bocek weiter. „Wir können dieses Problem nicht mit den bestehenden Methoden lösen. Stattdessen müssen wir anders über die Identität und Integrität des Codes nachdenken, den wir erstellen und verwenden, und wir müssen ihn in jedem Schritt des Entwicklungsprozesses mit Maschinengeschwindigkeit schützen und sichern.“
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/d0/52/d05265b738654350e7d819867affca43/0109507650.jpeg "Die Minimierung der Speichernutzung von Smart Contracts kann zu massiven Einsparungen führen. (Bild: <a href=https://pixabay.com/users/jievani-21902109/>Jievani Weerasinghe</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dd/d7/ddd7f2c4859b85a8b1688f38e3092085/0111289633.jpeg "Code-Fragmente machen das Programmieren deutlich effizienter. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/80/89/8089a443255acb4adc657bb0e64a0d69/0111553974.jpeg "Erster Blick auf Parasoft Jtest 2023.1. (Bild: Parasoft)")
:quality(80)/p7i.vogel.de/wcms/ff/f8/fff8d58054f9546032349bcfd610f977/0110367136.jpeg "Agile Softwareentwicklung lebt unter anderem vom ständigen Austausch aller Beteiligten. (Bild: <a href=https://unsplash.com/de/@jasongoodman_youxventures>Jason Goodman</a>)")
:quality(80)/p7i.vogel.de/wcms/9e/fa/9efa0cc7438c341e53e44ab403510441/0111640567.jpeg "Der Open-Source-Scanner Trivy lässt sich unter anderem per CLI aufrufen und unterstützt nun auch die Kubernetes-Benchmarks des CIS. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/ce/99/ce994c9dce9fac6c16e96a2871e6c3be/0110414706.jpeg "Nur im Zuge einer umfangreichen Security-Strategie lässt sich ein heterogenes Endpoint-Universum vor Bedrohungen zu schützen. (Bild: <a href=https://pixabay.com/users/coolvid-shows-18646168/>CoolVid-Shows</a>)")
:quality(80)/p7i.vogel.de/wcms/dd/8b/dd8bdf45a5452802972c54a0c54d85d6/0111382050.jpeg "Für DevOps-Teams stellt der Übergang zu modernen, Cloud-basierten Anwendungsumgebungen eine große Herausforderung dar. (Bild: <a href=https://pixabay.com/users/williamscreativity-17210051/>WilliamsCreativity</a>)")
:quality(80)/p7i.vogel.de/wcms/85/49/854932edf414b2f888be89bd3ddf447c/0111835486.jpeg "Cloud Native Rockstars on stage (oben, v.l.): Thomas Hartinger, Phil Korte, Alina Schneider, Nadège Jakob, Tobias Renk, Sebastian Kister, Volker Zöpfel und Linda Früh, daneben die Juroren Dr. Jens Eckhard und Dr. Nils Kaufmann mit Vorjahres-Preisträgerin Emma Wehrwein. In der unteren Reihe (v.l.) Erik Schubert, Moderatorin Lydia Hundsdörfer und Stephan Augsten von den Vogel IT-Medien, Stefan Jacobs, Juror und Keynote-Speaker Maximilian Hille sowie Preisträger Tim Urlaub. (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/7b/19/7b19253be9adc79579f0725469c0776a/0111556272.jpeg "Eine Cloud-Migration harmoniert gut mit den DevOps-Prinzipien, die dadurch ein Revival erleben könnten- (Bild: <a href=https://pixabay.com/users/bearinthenorth-2960032/>Anastasia Borisova</a>)")
:quality(80)/p7i.vogel.de/wcms/b8/bf/b8bfcf221961042a9d80a661969868af/0111108621.jpeg "Der Abbau von technischen Schulden bindet Ressourcen, die für aktuelle Projekte dringend benötigt werden. (Bild: © – profit_image – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/61/3e61a6ad22070f1d8239744aa90462ad/0111352868.jpeg "Der sogenannte „Renovate Bot“ aktualisiert nicht selbst, sondern stellt Merge-Requests an das Development Team. (Bild: <a href=https://pixabay.com/de/users/mohamed_hassan-5229782/>Mohamed Hassan</a>)")
:quality(80)/p7i.vogel.de/wcms/a1/2b/a12b814d8d4e1d5ae4d9817d12f5a2d5/0110227353.jpeg "BPMN ist ein intuitives Tool, das sich zu einem Standardverfahren für die Visualisierung von Geschäftsprozess-Workflows entwickelt hat. (© NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/d3/13d37d2a255166d3b801341d81ff0cff/0111621162.jpeg "Automobilarchitekturen wandeln sich zu zonalen, zentralen Rechenzentren und schließlich zu Software Defined Vehicles. (Bild: © – vegefox.com – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/53/3253e183359754bee5c1b52b1fc0aff6/0111206462.jpeg "Die Datenbankevolution treibt KI, ML und Deep Learning, was die Art und Weise des menschlichen Wissenserwerbs widerspiegeln soll, weiter an. (Bild: Dimitrios - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/dd/55ddac3b4e6f52d4b2584f77a72db2ee/0111768534.jpeg "MariaDB hat die Observability-Funktionen von SkySQL weiter ausgebaut. (Bild: Mohamed Hassan)")
:quality(80)/p7i.vogel.de/wcms/ec/92/ec9271497f9a497ec5c149833911b065/0111435523.jpeg "In den Fachabteilungen wissen die Angestellten genau, welche Tools sie benötigen – warum unkomplizierte Anwendungen nicht selbst bauen lassen? (Bild: <a href=https://pixabay.com/de/users/mohamed_hassan-5229782/>Mohamed Hassan</a>)")
:quality(80)/p7i.vogel.de/wcms/19/1d/191d69675e71d858a172728556fcbafb/0111041367.jpeg "OVHcloud hat mit AI Deploy einen neuen Service für KI-Anwendungen veröffentlicht. (Bild: OVHcloud)")
:quality(80)/p7i.vogel.de/wcms/50/1e/501e67c0fb83d75fc4e0959b137e349b/0111403157.jpeg "Large Language Models verstehen natürliche Sprache, können übersetzen, auf Basis ihrer Daten neuen Text generieren und vieles mehr. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/19/31/1931878346987d5f61c5ed1b967599ae/0104711006.jpeg "Datenstrukturen werden in der Regel auf die Verarbeitung durch Algorithmen hin optimiert. (Bild: Kittiphat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/67/e96797cf34887ed47068092a4289a884/0111209876.jpeg "Effizienten Code zu schreiben, ist eine große Herausforderung, der sich etliche Unternehmen gerade stellen. (Bild: <a href=https://pixabay.com/de/users/insspirito-1851261/>Garik Barseghyan</a>)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:quality(80)/images.vogel.de/vogelonline/bdb/1924500/1924587/original.jpg "Gerade im Open-Source-Umfeld suchen Cyber-Kriminelle gerne nach Angriffspunkten in der Software-Lieferkette (artinspiring – stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1932800/1932808/original.jpg "Mehr als 2,6 Milliarden Lines of Code haben die Audit-Fachkräfte von Revenera für den „State of the Software Supply Chain“-Report ausgewertet. (Revenera)")