Die Risiken in der Supply Chain für Software sind noch lange nicht gebannt. 2023 war die Zahl dieser Angriffe doppelt so hoch wie die Gesamtzahl der von 2019 bis 2022 verzeichneten Angriffe.
Der Schutz der Supply Chain ist bekanntermaßen schwierig, aber warum eigentlich? Laut dem „Annual State of the Software Supply Chain Report“ von Sonatype basierten 96 % der Angriffe auf einer Schwachstelle in Open-Source-Software (OSS), für die bereits ein Patch zur Verfügung stand, während nur 4 % der Angriffe als „unvermeidbar“ eingestuft wurden. In Anbetracht der zahlreichen Folgen einer Kompromittierung von OSS – z. B. Abfangen von Anmeldeinformationen und Verlust von Finanzdaten – stellt sich die Frage: Warum kommen noch immer so viele dieser „vermeidbaren" Angriffe durch?
Das eigentliche Problem ist oft die Übersicht – ein System für den angemessenen Schutz von OSS-Paketen und zum Verständnis, welche Pakete überhaupt anfällig sind. Und da diese Angriffe immer weiter zunehmen, wird dieses allgemeine Problem wichtiger denn je. Lesen Sie weiter, um mehr zu erfahren:
Was OSS-Pakete anfällig für Missbrauch macht
Warum Unternehmen kompromittierte Software häufig übersehen – und sich selbst in Gefahr bringen
4 Best Practices, um häufige Schwachstellen von OSS zu vermeiden und die Wahrscheinlichkeit von Angriffen zu verringern
Es kann für Unternehmen sehr schwierig sein, Angriffen auf OSS einen Schritt voraus zu sein. Nach einer Schätzung enthielt 2023 1 von 8 heruntergeladenen Open-Source-Komponenten ein bekanntes Sicherheitsrisiko – zusätzlich zu den über 200 Millionen bösartigen Paketen, die im selben Jahr entdeckt wurden.
Es gibt mehrere Gründe, warum diese Angriffe nach wie vor so weit verbreitet (und schwer zu vermeiden) sind:
Da sie sich ständig weiterentwickeln, entgehen Angriffe auf OSS häufig den üblichen Sicherheitsmaßnahmen. So wurden bei einem Angriff auf OSS sowohl vorinstallierte Skripte als auch Taktiken zur Nachahmung von Mitarbeitenden verwendet, um eine Bank anzugreifen und bösartige Software auf den Systemen der Opfer zu installieren. Anschließend übermittelte der Angreifer eine zweite Nutzlast über eine legitime Subdomain, die den Namen der ins Visier genommenen Bank enthielt und somit mit größerer Wahrscheinlichkeit nicht von den Sicherheitssystemen erkannt wurde.
Angreifer verwenden nicht nur ausgefeilte Methoden, um unentdeckt zu bleiben, sondern sie haben ihren Fokus von isolierten Systemen und Anwendungen auf Schwachstellen in DevOps-Tools, Plattformen, Open-Source-Repositories und Softwarekomponenten verlagert. Ein Beispiel dafür sind Open-Source-Skripte, die clientseitig ausgeführt werden, da sich die meisten OSS-Sicherheitstools auf serverseitigen Code konzentrieren. In einem Fall dieser Taktik entdeckten Sicherheitsanalysten, dass JavaScript-Tracker von Drittanbietern, die in Websites mit „Login With Facebook“ eingebettet sind, zum Sammeln von Facebook-Anmeldedaten verwendet werden können.
Angriffe auf OSS können mit verschiedenen Methoden durchgeführt werden; beispielsweise können Opfer dazu verleitet werden, bösartige Pakete herunterzuladen oder Software-Updates zu manipulieren. Und da diese Angriffe so lange unentdeckt bleiben – manchmal über Wochen oder Monate – müssen die Sicherheitslücken so schnell wie möglich geschlossen werden.
Verwenden Unternehmen jedoch veraltete oder nicht gewartete Software, wird die Durchführung wichtiger Upgrades mühsam und zeitaufwändig, was das Risiko von Kompromittierungen und Angriffen erhöhen kann.
Wie vermeidbar ist dieses Problem? Laut dem Sonatype-Bericht für das Jahr 2023 sind für jedes riskante Upgrade, das Unternehmen durchführen, etwa „10 bessere Versionen [von Softwarekomponenten] verfügbar“.
In noch heimtückischeren Fällen werden automatische Software-Updates von Angreifern missbraucht, sodass ahnungslose Nutzende versehentlich bösartige Aktionen auslösen. Bei einem Angriff wurden schätzungsweise drei Millionen Nutzende durch bösartige Aktualisierungen von Python- und PHP-Paketen angegriffen, mit denen versucht wurde, AWS-Anmeldeinformationen abzufangen.
Die Ausführung anderer bösartiger Updates kann Monate oder sogar Jahre dauern, sodass sich die Nutzenden in falscher Sicherheit wiegen, nachdem sie bestimmte Softwarepakete bereits überprüft und für vertrauenswürdig befunden haben – wie das schlummernde npm-Paket, das nach acht Monaten relativer Untätigkeit versucht hat, private Ethereum-Keys zu exfiltrieren.
Angesichts der weiten Verbreitung und der Vielseitigkeit von Angriffen auf OSS ist es für Unternehmen fast unmöglich, jedes Programm zu patchen, jede Softwarekomponente im Auge zu behalten und jede potenzielle Schwachstelle in ihrer Umgebung zu katalogisieren. Dennoch gibt es einige Maßnahmen, die Unternehmen ergreifen können, um die größten Bedrohungen abzuwehren, darunter:
In den meisten Fällen öffnen schlechte Überprüfungspraktiken Risiken von und Angriffen auf OSS Tür und Tor. Bei der Bewertung von Open-Source-Software und -Projekten sollten Unternehmen sicherstellen, dass sie nicht nur die aktuellste Softwareversion implementieren, sondern sich auch die Zeit nehmen, um zu prüfen, ob diese Software aktiv auf Schwachstellen überprüft und entsprechend aktualisiert wird.
2023 wurden mehr als zwei Milliarden OSS-Downloads mit bekannten Sicherheitslücken – und verfügbaren Korrekturen dafür – verzeichnet. Auch wenn nicht jede Schwachstelle von Angreifern ausgenutzt werden kann, sollten Unternehmen Schritte unternehmen, um ihre Sicherheitsmaßnahmen zu verbessern, indem sie die OSS-Pakete in ihrer Umgebung bewerten und Patches anwenden, wann immer dies möglich ist.
Das Patchen jeder einzelnen Schwachstelle mag für die meisten Unternehmen ein unrealistisches Ziel sein. Jedoch kann die Priorisierung der kritischsten Risiken und Upgrades dazu beitragen, Angriffe abzuwehren, die wahrscheinlich den größten Schaden anrichten.
Ein umfassender Sicherheitsrahmen – wie Zero Trust – kann dazu beitragen, die Angriffsfläche eines Unternehmens zu verringern und die Risiken ungepatchter OSS-Schwachstellen zu mindern. In einer Zero Trust-Architektur ist keine Entität standardmäßig vertrauenswürdig und jede Anfrage an jede Ressource wird anhand der Identität und anderer kontextbezogener Signale überprüft. Das heißt, selbst wenn ein Angreifer ein Gerät oder einen Teil der Infrastruktur kompromittiert, ist es für den Angreifer sehr schwierig, sich lateral zu bewegen oder seine Berechtigungen innerhalb einer IT-Umgebung zu erweitern. Indem Unternehmen diesen Ansatz, bei dem niemandem standardmäßig vertraut wird, auch auf Webaktivitäten ausweiten, können sie das Surfen im Internet isolieren und Geräte von potenziell riskantem Online-Code abschirmen.
Um sich vor modernen Angriffen auf OSS zu schützen, müssen Unternehmen jede Phase des Softwareentwicklungszyklus untersuchen und absichern sowie ein umfassendes Verständnis der von ihnen eingesetzten Software entwickeln: Zunächst gilt es, kritische Patches für zuvor identifizierte Schwachstellen zu identifizieren und dann die größten Risiken und Upgrades entsprechend zu priorisieren.
Cloudflare wurde entwickelt, um Unternehmen dabei zu helfen, modernen und aufkommenden Bedrohungen, einschließlich Angriffen auf die Software-Lieferkette, einen Schritt voraus zu sein und überall die Kontrolle und Transparenz wiederzuerlangen – in allen IT-Umgebungen, über den gesamten Lebenszyklus der Angriffe und auf der ganzen Welt. Insbesondere können Unternehmen die einheitliche, intelligente Plattform von Cloudflare nutzen, um die Sicherheit in kritischen Bereichen wie z. B:
Erkennen von clientseitigen Open-Source-Skripten von Drittanbietern, die von Webanwendungen verwendet werden
Schutz von Webanwendungen vor Sicherheitslücken in Open-Source-Software und vor bösartigen clientseitigen Open-Source-Skripten
Verbesserung der Sichtbarkeit von Bedrohungen und der Kontrolle über das gesamte digitale Portfolio
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträgerinnen und -träger aus der Tech-Branche heute von Bedeutung sind.
Holen Sie sich das E-Book „Stärken Sie Ihr Sicherheitsniveau an allen Fronten“ und erfahren Sie, wie Cloudflare Unternehmen dabei hilft, ihre Daten Software-Schwachstellen und Exploits zu schützen.
Folgende Informationen werden in diesem Artikel vermittelt:
2023 gab es doppelt so viele Angriffe auf die Supply Chain wie in den 4 Jahren zuvor zusammen
Warum Unternehmen kritische Schwachstellen von OSS übersehen
4 Tipps, um Risiken von OSS zu minimieren
Eine detaillierte Roadmap zum Aufbau einer Zero Trust-Architektur
Infografik: Auswirkungen von modernem Programmieren, KI und der Cloud auf die Datenschutzstrategie