Anzeige

Anzeige

Cyber Attack Warning

Sonatype, das Unternehmen, das DevOps durch Open Source Governance und Software Supply Chain Automatisierung skaliert, veröffentlicht seinen jährlichen State of the Software Supply Chain Report.

Der diesjährige Bericht ergab einen massiven Anstieg der Next-Generation-Cyber-Angriffe um 430 %, die darauf abzielen, Open-Source-Software-Supply-Chains aktiv zu infiltrieren.  

Zunahme von Next-Gen-Angriffen auf Software-Lieferketten

Dem Bericht zufolge wurden im Zeitraum Juli 2019 bis Mai 2020 insgesamt 929 Next-Generation-Angriffe auf Software Supply Chains verzeichnet. Im Vergleich dazu wurden in den vier Jahren zwischen Februar 2015 und Juni 2019 insgesamt 216 solcher Angriffe verzeichnet.

Der Unterschied zwischen "Next-Generation"- und "Legacy"-Angriffen auf Software-Lieferketten ist einfach, aber von entscheidender Bedeutung: Next-Generation-Angriffe wie Octopus Scanner und electron-native-notify sind strategisch ausgerichtet, unter Beteiligung gefährlicher Akteure, die absichtlich auf "Upstream"-Open-Source-Projekte abzielen und diese heimlich kompromittieren, so dass sie anschließend Schwachstellen ausnutzen können, wenn diese unweigerlich "Downstream" in die freie Wildbahn gelangen.  Umgekehrt sind Legacy-Angriffe auf die Software-Supply-Chain, wie beispielsweise Equifax, taktisch und involvieren bösartige Akteure, die darauf warten, dass neue Zero-Day-Schwachstellen öffentlich bekannt werden, und dann in einem Wettlauf darum kämpfen, diese Schwachstellen auszunutzen, bevor andere Abhilfe schaffen können.

Geschwindigkeit bleibt entscheidend, wenn es darum geht, auf Lecagy-Angriffe zu reagieren, die sich gegen Software-Supply-Chains richten

Dem Bericht zufolge unterscheiden sich die Software-Entwicklungsteams in Unternehmen in ihren Reaktionszeiten auf Schwachstellen in Open-Source-Softwarekomponenten:

  • 47 % der Unternehmen wurden nach einer Woche auf neue Open-Source-Schwachstellen aufmerksam; und
  • 51% der Unternehmen brauchten mehr als eine Woche, um die Open-Source-Schwachstellen zu beheben 

Im zweiten Jahr in Folge arbeitete Sonatype mit den Forschern Gene Kim von IT Revolution und Dr. Stephen Magill, CEO von MuseDev, zusammen, um zu untersuchen, wie High-Performance-Teams hervorragende Ergebnisse beim Risikomanagement erzielen und gleichzeitig ein hohes Produktivitätsniveau aufrechterhalten können. Die Forscher stellten fest, dass nicht alle Unternehmen verbesserten Risikomanagement-Methoden auf Kosten der Produktivität der Entwickler Vorrang einräumen. Der diesjährige Bericht zeigt, dass High-Performance-Entwicklungsteams Open-Source-Schwachstellen 26-mal schneller erkennen und beheben und Codeänderungen 15-mal häufiger deployen als ihre Kollegen. Bei den High-Performern lag die Wahrscheinlichkeit

  • 59 % höher, Software-CompositionAnalysis-(SCA)-Tools einzusetzen, um bekannte angreifbare OSS-Komponenten innerhalb des Software-Delivery-Lifecycle (SDLC) zu erkennen und diese Schwachstellen zu beheben
  • 51 % höher, die SBOMs (Software Bill of Materials) für Applikationen zentral zu verwalten
  • 4,9-mal höher, Abhängigkeiten erfolgreich zu aktualisieren und Schwachstellen ohne Probleme zu beheben
  • 33-mal höher, davon vertrauen zu können, dass OSS-Abhängigkeiten sicher sind (d. h. keine bekannten Schwachstellen)

Weitere Ergebnisse der Studie:

  • 1,5 Billionen Download-Anfragen für Komponenten werden für 2020 übergreifend für alle wichtigen Open-Source-Ökosysteme prognostiziert 
  • 10 % der Downloads von Java-OSS-Komponenten durch Entwickler hatten bekannte Sicherheitslücken
  • 11 % der Open-Source-Komponenten, die Entwickler in ihre Anwendungen einbauen, sind bekanntermaßen anfällig, wobei im Durchschnitt 38 Schwachstellen entdeckt wurden 
  • 40 % der npm-Pakete enthalten Abhängigkeiten mit bekannten Schwachstellen 
  • Neue Open-Source Zero-Day-Schwachstellen werden innerhalb von 3 Tagen nach der öffentlichen Bekanntgabe ausgenutzt 
  • Der durchschnittliche Quellcode eines Unternehmens stammt aus 3.500 OSS-Projekten, darunter über 11.000 Komponentenversionen. 

Der Report sollte hier zum Download verfügbar sein.

www.sonatype.com


Artikel zu diesem Thema

Cyberattack
Aug 11, 2020

Unternehmen fürchten mehr Cyberangriffe bei Remote-Arbeit

Neueste Forschungsergebnisse zeigen: Fast drei Viertel der Verantwortlichen in großen…
Cybersecurity
Aug 11, 2020

Schützen Sie Ihr IP vor Cyber-Bedrohungen

Geistiges Eigentum ist der wichtigste Wert eines jeden Unternehmens, denn es definiert…

Weitere Artikel

Malware

FluBot-Malware - wie ich den Feind besiege

FluBot ist eine neue Android-Banking-Malware-Familie, deren Präsenz in den letzten Monaten zunehmend besorgniserregender wurde.
Microsoft 365

Microsoft 365? Aber sicher!

Automatisch alles sicher mit Microsoft 365? Keineswegs! Wir sagen Ihnen, auf was Sie beim Einsatz der Web-Anwendungssuite von Microsoft achten sollten, damit wichtige Daten gesichert sind – und es auch bleiben.
Cyber Security

59 Prozent der Onliner bei Sicherheitsvorkehrungen nachlässig

Am Vormittag des DsiN-Jahreskongresses ist der DsiN-Sicherheitsindex zur digitalen Sicherheitslage von Verbraucher:innen in Deutschland erschienen. Die repräsentative Studie zeigt erhebliche Unterstützungsbedarfe bei zwei von drei Onlinern (63,7 Prozent). 17…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.