Anzeige

Cyber Attack Warning

Sonatype, das Unternehmen, das DevOps durch Open Source Governance und Software Supply Chain Automatisierung skaliert, veröffentlicht seinen jährlichen State of the Software Supply Chain Report.

Der diesjährige Bericht ergab einen massiven Anstieg der Next-Generation-Cyber-Angriffe um 430 %, die darauf abzielen, Open-Source-Software-Supply-Chains aktiv zu infiltrieren.  

Zunahme von Next-Gen-Angriffen auf Software-Lieferketten

Dem Bericht zufolge wurden im Zeitraum Juli 2019 bis Mai 2020 insgesamt 929 Next-Generation-Angriffe auf Software Supply Chains verzeichnet. Im Vergleich dazu wurden in den vier Jahren zwischen Februar 2015 und Juni 2019 insgesamt 216 solcher Angriffe verzeichnet.

Der Unterschied zwischen "Next-Generation"- und "Legacy"-Angriffen auf Software-Lieferketten ist einfach, aber von entscheidender Bedeutung: Next-Generation-Angriffe wie Octopus Scanner und electron-native-notify sind strategisch ausgerichtet, unter Beteiligung gefährlicher Akteure, die absichtlich auf "Upstream"-Open-Source-Projekte abzielen und diese heimlich kompromittieren, so dass sie anschließend Schwachstellen ausnutzen können, wenn diese unweigerlich "Downstream" in die freie Wildbahn gelangen.  Umgekehrt sind Legacy-Angriffe auf die Software-Supply-Chain, wie beispielsweise Equifax, taktisch und involvieren bösartige Akteure, die darauf warten, dass neue Zero-Day-Schwachstellen öffentlich bekannt werden, und dann in einem Wettlauf darum kämpfen, diese Schwachstellen auszunutzen, bevor andere Abhilfe schaffen können.

Geschwindigkeit bleibt entscheidend, wenn es darum geht, auf Lecagy-Angriffe zu reagieren, die sich gegen Software-Supply-Chains richten

Dem Bericht zufolge unterscheiden sich die Software-Entwicklungsteams in Unternehmen in ihren Reaktionszeiten auf Schwachstellen in Open-Source-Softwarekomponenten:

  • 47 % der Unternehmen wurden nach einer Woche auf neue Open-Source-Schwachstellen aufmerksam; und
  • 51% der Unternehmen brauchten mehr als eine Woche, um die Open-Source-Schwachstellen zu beheben 

Im zweiten Jahr in Folge arbeitete Sonatype mit den Forschern Gene Kim von IT Revolution und Dr. Stephen Magill, CEO von MuseDev, zusammen, um zu untersuchen, wie High-Performance-Teams hervorragende Ergebnisse beim Risikomanagement erzielen und gleichzeitig ein hohes Produktivitätsniveau aufrechterhalten können. Die Forscher stellten fest, dass nicht alle Unternehmen verbesserten Risikomanagement-Methoden auf Kosten der Produktivität der Entwickler Vorrang einräumen. Der diesjährige Bericht zeigt, dass High-Performance-Entwicklungsteams Open-Source-Schwachstellen 26-mal schneller erkennen und beheben und Codeänderungen 15-mal häufiger deployen als ihre Kollegen. Bei den High-Performern lag die Wahrscheinlichkeit

  • 59 % höher, Software-CompositionAnalysis-(SCA)-Tools einzusetzen, um bekannte angreifbare OSS-Komponenten innerhalb des Software-Delivery-Lifecycle (SDLC) zu erkennen und diese Schwachstellen zu beheben
  • 51 % höher, die SBOMs (Software Bill of Materials) für Applikationen zentral zu verwalten
  • 4,9-mal höher, Abhängigkeiten erfolgreich zu aktualisieren und Schwachstellen ohne Probleme zu beheben
  • 33-mal höher, davon vertrauen zu können, dass OSS-Abhängigkeiten sicher sind (d. h. keine bekannten Schwachstellen)

Weitere Ergebnisse der Studie:

  • 1,5 Billionen Download-Anfragen für Komponenten werden für 2020 übergreifend für alle wichtigen Open-Source-Ökosysteme prognostiziert 
  • 10 % der Downloads von Java-OSS-Komponenten durch Entwickler hatten bekannte Sicherheitslücken
  • 11 % der Open-Source-Komponenten, die Entwickler in ihre Anwendungen einbauen, sind bekanntermaßen anfällig, wobei im Durchschnitt 38 Schwachstellen entdeckt wurden 
  • 40 % der npm-Pakete enthalten Abhängigkeiten mit bekannten Schwachstellen 
  • Neue Open-Source Zero-Day-Schwachstellen werden innerhalb von 3 Tagen nach der öffentlichen Bekanntgabe ausgenutzt 
  • Der durchschnittliche Quellcode eines Unternehmens stammt aus 3.500 OSS-Projekten, darunter über 11.000 Komponentenversionen. 

Der Report sollte hier zum Download verfügbar sein.

www.sonatype.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Cyberattack
Aug 11, 2020

Unternehmen fürchten mehr Cyberangriffe bei Remote-Arbeit

Neueste Forschungsergebnisse zeigen: Fast drei Viertel der Verantwortlichen in großen…
Cybersecurity
Aug 11, 2020

Schützen Sie Ihr IP vor Cyber-Bedrohungen

Geistiges Eigentum ist der wichtigste Wert eines jeden Unternehmens, denn es definiert…

Weitere Artikel

Zero-Day-Lücke

Zero-Day-Lücken in MS Exchange ermöglichen Industriespionage

Microsoft hat Notfall-Patches für insgesamt vier bisher ungepatchte Sicherheitslücken in Microsoft Exchange veröffentlicht. Die Lücken werden derzeit von staatlichen Akteuren aktiv ausgenutzt.
Phishing

So schützen Sie sich vor Corona-Phishing

Phishing hat während der Corona-Krise stärker als zuvor zugenommen. Kriminelle nutzen die Verunsicherung und die Homeoffice-Situation gezielt aus, um an sensible Daten zu kommen, mit denen sie großen Schaden anrichten können.
IoT

Internet of Things (IoT): Altgeräte entpuppen sich als Sicherheitsfallen

Es klingt zu verlockend: Smarte Steckdosen und Lampen, Router oder Alarmanlagen werden auf digitalen Flohmärkten und sogar in manchen Online-Shops zu außergewöhnlich günstigen Preisen angeboten. Bei genauerem Hinsehen erweisen sich die vermeintlichen…
Trojaner

Gemeinsam gegen Verschlüsselungstrojaner

Funktionierende und sichere IT-Infrastrukturen sind von grundlegender Bedeutung für unsere Gesellschaft, das hat uns die Corona-Pandemie deutlich gezeigt. Mit fortschreitender Digitalisierung werden Unternehmen, Behörden sowie Bürger:Innen jedoch auch zur…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!