Alle 14 Tage aktuelle News aus der IT-Szene >
Report belegt eine 430-prozentige Zunahme von Next-Generation Open-Source-Cyber-Angriffen.
Foto: Sonatype Infografik zum Report Sonatype, Anbieter für Open Source Governance und Software Supply Chain-Automatisierung, veröffentlicht seinen sechsten jährlichen State of the Software Supply Chain Report. Der diesjährige Bericht ergab einen massiven Anstieg der Next-Generation-Cyber-Angriffe um 430 Prozent, die darauf abzielen, Open-Source-Software-Supply-Chains aktiv zu infiltrieren.
Dem Bericht zufolge wurden im Zeitraum Juli 2019 bis Mai 2020 insgesamt 929 Next-Generation-Angriffe auf Software Supply Chains verzeichnet. Im Vergleich dazu wurden in den vier Jahren zwischen Februar 2015 und Juni 2019 insgesamt 216 solcher Angriffe verzeichnet.
Der Unterschied zwischen „Next-Generation“- und „Legacy“-Angriffen auf Software-Lieferketten ist einfach, aber von entscheidender Bedeutung: Next-Generation-Angriffe wie Octopus Scanner und electron-native-notify sind strategisch ausgerichtet, unter Beteiligung gefährlicher Akteure, die absichtlich auf „Upstream“-Open-Source-Projekte abzielen und diese heimlich kompromittieren, so dass sie anschließend Schwachstellen ausnutzen können, wenn diese unweigerlich „Downstream“ in die freie Wildbahn gelangen. Umgekehrt sind Legacy-Angriffe auf die Software-Supply-Chain, wie beispielsweise Equifax, taktisch und involvieren bösartige Akteure, die darauf warten, dass neue Zero-Day-Schwachstellen öffentlich bekannt werden, und dann in einem Wettlauf darum kämpfen, diese Schwachstellen auszunutzen, bevor andere Abhilfe schaffen können.
„Nach dem berüchtigten Equifax-Hack im Jahr 2017 haben Unternehmen ihre Investitionen deutlich erhöht, um ähnliche Angriffe auf die Lieferketten für Open-Source-Software zu verhindern“, erklärt Wayne Jackson, CEO von Sonatype. „Unsere Untersuchungen zeigen, dass kommerzielle Entwicklungsteams immer schneller in der Lage sind, auf neue Zero-Day-Schwachstellen zu reagieren. Daher überrascht es nicht, dass die Next-Generation-Angriffe auf Supply-Chains um 430 Prozent zugenommen haben, da die Angreifer ihre Aktivitäten ‚upstream‘ verlagern, wo sie eine einzelne Open-Source-Komponente infizieren können, die potenziell ‚downstream‘ verteilt und dort strategisch und verdeckt ausgenutzt werden kann.“
Dem Bericht zufolge unterscheiden sich die Software-Entwicklungsteams in Unternehmen in ihren Reaktionszeiten auf Schwachstellen in Open-Source-Softwarekomponenten:
Im zweiten Jahr in Folge arbeitete Sonatype mit den Forschern Gene Kim von IT Revolution und Stephen Magill, CEO von MuseDev, zusammen, um zu untersuchen, wie High-Performance-Teams hervorragende Ergebnisse beim Risikomanagement erzielen und gleichzeitig ein hohes Produktivitätsniveau aufrechterhalten können. Die Forscher stellten fest, dass nicht alle Unternehmen verbesserten Risikomanagement-Methoden auf Kosten der Produktivität der Entwickler Vorrang einräumen. Der diesjährige Bericht zeigt, dass High-Performance-Entwicklungsteams Open-Source-Schwachstellen 26-mal schneller erkennen und beheben und Codeänderungen 15-mal häufiger deployen als ihre Kollegen. Bei den High-Performern lag die Wahrscheinlichkeit
„Wir haben festgestellt, dass High-Performance-Teams in der Lage sind, Sicherheits- und Produktivitätsziele gleichzeitig zu erreichen“, sagt Gene Kim. „Es ist wirklich sehr beeindruckend, ein genaueres Verständnis über die Prinzipien und Verfahren, wie diese Ziele erreicht werden, sowie die messbaren Ergebnisse zu gewinnen.“
„Es war wirklich spannend, so viele Beweise dafür zu finden, dass dieser vieldiskutierte Kompromiss zwischen Sicherheit und Produktivität in Wirklichkeit eine falsche Dichotomie ist. Mit der richtigen Kultur, den richtigen Arbeitsabläufen und den richtigen Tools können Entwicklungsteams großartige Ergebnisse in den Bereichen Sicherheit und Compliance erzielen und gleichzeitig eine erstklassige Produktivität erreichen", so Stephen Magill.