Anzeige

Cyber Attack Warning

Sonatype, das Unternehmen, das DevOps durch Open Source Governance und Software Supply Chain Automatisierung skaliert, veröffentlicht seinen jährlichen State of the Software Supply Chain Report.

Der diesjährige Bericht ergab einen massiven Anstieg der Next-Generation-Cyber-Angriffe um 430 %, die darauf abzielen, Open-Source-Software-Supply-Chains aktiv zu infiltrieren.  

Zunahme von Next-Gen-Angriffen auf Software-Lieferketten

Dem Bericht zufolge wurden im Zeitraum Juli 2019 bis Mai 2020 insgesamt 929 Next-Generation-Angriffe auf Software Supply Chains verzeichnet. Im Vergleich dazu wurden in den vier Jahren zwischen Februar 2015 und Juni 2019 insgesamt 216 solcher Angriffe verzeichnet.

Der Unterschied zwischen "Next-Generation"- und "Legacy"-Angriffen auf Software-Lieferketten ist einfach, aber von entscheidender Bedeutung: Next-Generation-Angriffe wie Octopus Scanner und electron-native-notify sind strategisch ausgerichtet, unter Beteiligung gefährlicher Akteure, die absichtlich auf "Upstream"-Open-Source-Projekte abzielen und diese heimlich kompromittieren, so dass sie anschließend Schwachstellen ausnutzen können, wenn diese unweigerlich "Downstream" in die freie Wildbahn gelangen.  Umgekehrt sind Legacy-Angriffe auf die Software-Supply-Chain, wie beispielsweise Equifax, taktisch und involvieren bösartige Akteure, die darauf warten, dass neue Zero-Day-Schwachstellen öffentlich bekannt werden, und dann in einem Wettlauf darum kämpfen, diese Schwachstellen auszunutzen, bevor andere Abhilfe schaffen können.

Geschwindigkeit bleibt entscheidend, wenn es darum geht, auf Lecagy-Angriffe zu reagieren, die sich gegen Software-Supply-Chains richten

Dem Bericht zufolge unterscheiden sich die Software-Entwicklungsteams in Unternehmen in ihren Reaktionszeiten auf Schwachstellen in Open-Source-Softwarekomponenten:

  • 47 % der Unternehmen wurden nach einer Woche auf neue Open-Source-Schwachstellen aufmerksam; und
  • 51% der Unternehmen brauchten mehr als eine Woche, um die Open-Source-Schwachstellen zu beheben 

Im zweiten Jahr in Folge arbeitete Sonatype mit den Forschern Gene Kim von IT Revolution und Dr. Stephen Magill, CEO von MuseDev, zusammen, um zu untersuchen, wie High-Performance-Teams hervorragende Ergebnisse beim Risikomanagement erzielen und gleichzeitig ein hohes Produktivitätsniveau aufrechterhalten können. Die Forscher stellten fest, dass nicht alle Unternehmen verbesserten Risikomanagement-Methoden auf Kosten der Produktivität der Entwickler Vorrang einräumen. Der diesjährige Bericht zeigt, dass High-Performance-Entwicklungsteams Open-Source-Schwachstellen 26-mal schneller erkennen und beheben und Codeänderungen 15-mal häufiger deployen als ihre Kollegen. Bei den High-Performern lag die Wahrscheinlichkeit

  • 59 % höher, Software-CompositionAnalysis-(SCA)-Tools einzusetzen, um bekannte angreifbare OSS-Komponenten innerhalb des Software-Delivery-Lifecycle (SDLC) zu erkennen und diese Schwachstellen zu beheben
  • 51 % höher, die SBOMs (Software Bill of Materials) für Applikationen zentral zu verwalten
  • 4,9-mal höher, Abhängigkeiten erfolgreich zu aktualisieren und Schwachstellen ohne Probleme zu beheben
  • 33-mal höher, davon vertrauen zu können, dass OSS-Abhängigkeiten sicher sind (d. h. keine bekannten Schwachstellen)

Weitere Ergebnisse der Studie:

  • 1,5 Billionen Download-Anfragen für Komponenten werden für 2020 übergreifend für alle wichtigen Open-Source-Ökosysteme prognostiziert 
  • 10 % der Downloads von Java-OSS-Komponenten durch Entwickler hatten bekannte Sicherheitslücken
  • 11 % der Open-Source-Komponenten, die Entwickler in ihre Anwendungen einbauen, sind bekanntermaßen anfällig, wobei im Durchschnitt 38 Schwachstellen entdeckt wurden 
  • 40 % der npm-Pakete enthalten Abhängigkeiten mit bekannten Schwachstellen 
  • Neue Open-Source Zero-Day-Schwachstellen werden innerhalb von 3 Tagen nach der öffentlichen Bekanntgabe ausgenutzt 
  • Der durchschnittliche Quellcode eines Unternehmens stammt aus 3.500 OSS-Projekten, darunter über 11.000 Komponentenversionen. 

Der Report sollte hier zum Download verfügbar sein.

www.sonatype.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Cyberattack
Aug 11, 2020

Unternehmen fürchten mehr Cyberangriffe bei Remote-Arbeit

Neueste Forschungsergebnisse zeigen: Fast drei Viertel der Verantwortlichen in großen…
Cybersecurity
Aug 11, 2020

Schützen Sie Ihr IP vor Cyber-Bedrohungen

Geistiges Eigentum ist der wichtigste Wert eines jeden Unternehmens, denn es definiert…

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!