Cyberschwachstellen in der Lieferkette der Regierung lüften

Veröffentlicht Nov 11, 2021
von Pieter Danhieux
FALLSTUDIE

Cyberschwachstellen in der Lieferkette der Regierung lüften

Veröffentlicht Nov 11, 2021
von Pieter Danhieux
Ressource anzeigen
Ressource anzeigen

Eine Version dieses Artikels erschien in TechCrunch .. Er wurde aktualisiert und hier syndiziert.

Als ob wir im Jahr ohne Namen nicht schon genug Störungen gehabt hätten, begann das Jahr 2021 für die US-Regierung mit einem ohrenbetäubenden Knall, und zwar in Form einer der schlimmsten Datenschutzverletzungen aller Zeiten. Der Vorfall bei SolarWinds war ein verheerender, ausgeklügelter Angriff eines nationalen Staates, der mehrere Regierungsbehörden und große Organisationen in Panik versetzte und sie dazu veranlasste, ihre Endpunkte zu sichern. Praktisch jeder Endnutzer der SolarWinds-Software wurde kompromittiert, und der Vorfall machte überdeutlich, wie wichtig Cybersicherheit und Schutz in Software-Lieferketten sind.

Es liegt auf der Hand, dass Cybersicherheit wichtig ist, aber was bedeutet sie eigentlich im Zusammenhang mit Lieferketten?

Der Stand der Cybersicherheit in einem durchschnittlichen Entwicklungsteam

Jeden Tag wird eine enorme Menge an Software erstellt, was Milliarden von Codezeilen pro Jahr entspricht, und diese Zahl steigt mit der Nachfrage, die durch unseren zunehmend digitalen Lebensstil entsteht, weiter an. Die Zahl der Entwickler weltweit wird bis 2024 auf fast 29 Millionen anschwellen, und derzeit gibt es keine formale Zertifizierung, die ihre Fähigkeit zur sicheren Programmierung bewertet und bescheinigt. Das soll nicht heißen, dass jeder Entwickler unsicheren Code produziert oder wiederverwendet, aber es besteht zweifellos ein anhaltendes Risiko, dass grundlegende Sicherheitsschwächen in die Software eingeschleust werden, der wir unsere Daten anvertrauen.

Entwickler werden danach beurteilt, ob sie in der Lage sind, Funktionen zu erstellen und Code so schnell wie möglich zu liefern. Sicherheit war in den meisten Unternehmen kein Maßstab für ihren Erfolg, aber das ändert sich allmählich, da immer mehr Unternehmen das Potenzial erkennen, das sie haben, um häufige Sicherheitsfehler in der frühesten Phase der Softwareentwicklung zu verhindern. Erkenntnis und Umsetzung sind jedoch zwei verschiedene Dinge, und da in den meisten tertiären Entwicklungsprogrammen courses jeglicher Kontext zu sicheren Kodierungspraktiken fehlt, liegt es oft am Arbeitsplatz des Entwicklers, das Defizit auszugleichen. Wenn der Aufbau von Fähigkeiten und die Weitergabe von Wissen selten oder irrelevant sind, dann wird dies wahrscheinlich unwirksam sein. Und so bleibt der Kreislauf der wiederkehrenden Schwachstellen aufgrund mangelnder Kompetenzentwicklung ungebrochen. 

Natürlich ist es nicht die Aufgabe des durchschnittlichen Softwareentwicklers, die Cybersecurity-Probleme der Welt zu lösen; schließlich stellen Unternehmen nicht ohne Grund diese sehr teuren Sicherheitsexperten ein. Sicherheitsgurus sind jedoch Mangelware, und Entwickler können sicherlich eine Rolle dabei spielen, die Belastung zu verringern. 

Doch was bedeutet das für uns - und für die Anbieter, die Software für kritische Infrastrukturen und sensible Organisationen entwickeln - im Hinblick auf die Verhinderung eines verheerenden Cyberangriffs? Es wird zumindest eine Änderung des Status quo bei der Softwarebeschaffung erforderlich sein.

Die Fallstricke, die einer sicheren Software-Lieferkette im Wege stehen

Das alte Sprichwort, dass eine Kette nur so stark ist wie ihr schwächstes Glied, trifft leider auch auf die Softwareversorgung zu. Es spielt wirklich keine Rolle, ob Ihr Unternehmen mit verstärkten Best Practices für die Sicherheit, Investitionen in die Weiterbildung von Entwicklern und dem Übergang zu einer funktionalen DevSecOps-Umgebung (d. h. jeder ist mitverantwortlich dafür, dass die Software so sicher wie möglich hergestellt wird) an den Start gegangen ist; wenn Sie Software von einem Anbieter verwenden, der Sicherheitsprobleme hat, werden Sie diese in Ihr Ökosystem übernehmen und die Konsequenzen tragen.

Sicherlich sollte das Sicherheitsteam dazu beitragen, die Sicherheit von Drittanbieter-Ergänzungen zum Tech-Stack zu bewerten, aber Entscheidungen können auf der Grundlage eines geschäftlichen Bedarfs getroffen werden, wobei die Auswahl an Lösungen gering ist. An diesem Punkt kann es sich um eine Vertrauensfrage handeln. Ist dem Anbieter die Sicherheit genauso wichtig wie Ihrem Unternehmen? Und kann der Anbieter die Risiken tatsächlich so einschätzen, wie nur Sie sie verstehen können, sowie die Werte, die Sie schützen müssen?

Transparenz ist ein wichtiger Faktor bei der Beurteilung der Sicherheit von Software-Ergänzungen des Anbieters. Sind die Anbieter offen mit ihren eigenen Sicherheitspraktiken umgegangen? Sie sollten stolz auf ihren Ansatz sein, Daten sicher zu halten, und dies sollte oberste Priorität haben. Wenn die Sicherheitspraktiken nirgendwo veröffentlicht werden oder keine Informationen verfügbar sind, ist die Wahrscheinlichkeit groß, dass die Sicherheit nicht im Vordergrund steht. Der Anbieter sollte in der Lage sein, technische Fragen zu beantworten, und unabhängige Zertifizierungen wie ISO27001 und SOC2 können ebenfalls nicht schaden. Wenn Sie nicht in der Lage sind, "unter die Haube" zu schauen und im Rahmen Ihrer eigenen internen Sorgfaltspflicht und Sicherheitspraktiken nach Schwachstellen zu suchen, sollten Sie die Sache vergessen.

Da die Nachfrage eine derartig schnelle Umsetzung von Softwareanforderungen vorantreibt, insbesondere wenn der Code des Anbieters in bestehende Systeme eingefügt wird, um Aktionen in einem neuen Kontext auszuführen, müssen sowohl der Anbieter als auch der Abnehmer auf der Höhe der Zeit sein, und beide sollten ihre Entwickler vor Ort haben, um häufige Sicherheitsfehler und Schwachstellen zu finden, bevor sie ausgeliefert werden. Es könnten Hunderte - oder Tausende - von Abhängigkeiten gefährdet sein, wenn ein neuer Zusatz zum bestehenden Spinnennetz der technischen Lösungen hinzugefügt wird, und ein kleiner Fehler könnte zu einem katastrophalen Untergang führen.

Was ist also die Lösung? Alles intern von Grund auf neu programmieren? Wenn wir uns im Jahr 1998 befänden, würde das vielleicht Sinn machen. Aber so wie wir heute nicht mehr "Jeeves" fragen, wo die nächste Autowaschanlage ist, müssen wir realistische Sicherheitsvorkehrungen treffen, die im heutigen Kontext funktionieren.

Es gibt immer noch kein Patentrezept, aber es gibt Lösungen

Für Käufer sollte die Sicherheit assessment der Anbietersoftware und der Entwicklungspraktiken eine Priorität des gesamten Sicherheitsprogramms und des Risikominderungsplans sein. Stellen Sie Fragen zu den Zertifizierungen, Praktiken und der Sicherheitsreputation der Entwickler.

Anbieter (und in der Tat alle Unternehmen, die Software entwickeln) müssen darauf vorbereitet sein zu zeigen, dass die Sicherheit an erster Stelle steht, und sollten sich auf die Weiterbildung von Mitarbeitern konzentrieren. Sicherheitskompetente Entwickler sind sehr gefragt, und mit den richtigen Werkzeugen und der richtigen Unterstützung können sie aus Ihrem bestehenden Team aufgebaut und in die Lage versetzt werden, Angriffe auf gängige Schwachstellen abzuwehren. Aber geben Sie ihnen nicht einfach irgendeine Schulung. Geben Sie ihnen Zeit, sich mit Sicherheitswerkzeugen zurechtzufinden, die ihre bestehenden Arbeitsabläufe ergänzen. Machen Sie es ihnen so einfach wie möglich, und beobachten Sie, wie sich die lästigen Bugs im Code, der das Unternehmen antreibt, langsam ausdünnen.

Die Quintessenz ist, dass jedes Softwarerisiko sich sofort verschlimmert, wenn es Teil der Lieferkette ist und alle Benutzer und alle Systeme betrifft, in denen anfällige Komponenten verwendet wurden. Wenn die Anbieter die Sicherheit nicht so ernst nehmen wie die Unternehmen, die ihre Software implementieren - oder wenn es sowohl dem Anbieter als auch dem Unternehmen an Sicherheitsprogrammen mangelt -, dann werden verheerende, weitreichende Angriffe auf die Lieferkette wie SolarWinds unweigerlich zur Norm werden - und das ist ein kritisches Problem für alle.

Ressource anzeigen
Ressource anzeigen

Autor

Pieter Danhieux

Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.

Sie wollen mehr?

Tauchen Sie ein in unsere neuesten Erkenntnisse über sichere Kodierung im Blog.

Unsere umfangreiche Ressourcenbibliothek zielt darauf ab, die menschliche Herangehensweise an eine sichere Weiterbildung im Bereich der Programmierung zu stärken.

Blog ansehen
Sie wollen mehr?

Holen Sie sich die neuesten Forschungsergebnisse zur entwicklergesteuerten Sicherheit

Unsere umfangreiche Ressourcenbibliothek ist voll von hilfreichen Ressourcen, von Whitepapers bis hin zu Webinaren, die Ihnen den Einstieg in die entwicklungsorientierte sichere Programmierung erleichtern. Erforschen Sie sie jetzt.

Ressourcendrehscheibe

Cyberschwachstellen in der Lieferkette der Regierung lüften

Veröffentlicht Nov 11, 2021
Von Pieter Danhieux

Eine Version dieses Artikels erschien in TechCrunch .. Er wurde aktualisiert und hier syndiziert.

Als ob wir im Jahr ohne Namen nicht schon genug Störungen gehabt hätten, begann das Jahr 2021 für die US-Regierung mit einem ohrenbetäubenden Knall, und zwar in Form einer der schlimmsten Datenschutzverletzungen aller Zeiten. Der Vorfall bei SolarWinds war ein verheerender, ausgeklügelter Angriff eines nationalen Staates, der mehrere Regierungsbehörden und große Organisationen in Panik versetzte und sie dazu veranlasste, ihre Endpunkte zu sichern. Praktisch jeder Endnutzer der SolarWinds-Software wurde kompromittiert, und der Vorfall machte überdeutlich, wie wichtig Cybersicherheit und Schutz in Software-Lieferketten sind.

Es liegt auf der Hand, dass Cybersicherheit wichtig ist, aber was bedeutet sie eigentlich im Zusammenhang mit Lieferketten?

Der Stand der Cybersicherheit in einem durchschnittlichen Entwicklungsteam

Jeden Tag wird eine enorme Menge an Software erstellt, was Milliarden von Codezeilen pro Jahr entspricht, und diese Zahl steigt mit der Nachfrage, die durch unseren zunehmend digitalen Lebensstil entsteht, weiter an. Die Zahl der Entwickler weltweit wird bis 2024 auf fast 29 Millionen anschwellen, und derzeit gibt es keine formale Zertifizierung, die ihre Fähigkeit zur sicheren Programmierung bewertet und bescheinigt. Das soll nicht heißen, dass jeder Entwickler unsicheren Code produziert oder wiederverwendet, aber es besteht zweifellos ein anhaltendes Risiko, dass grundlegende Sicherheitsschwächen in die Software eingeschleust werden, der wir unsere Daten anvertrauen.

Entwickler werden danach beurteilt, ob sie in der Lage sind, Funktionen zu erstellen und Code so schnell wie möglich zu liefern. Sicherheit war in den meisten Unternehmen kein Maßstab für ihren Erfolg, aber das ändert sich allmählich, da immer mehr Unternehmen das Potenzial erkennen, das sie haben, um häufige Sicherheitsfehler in der frühesten Phase der Softwareentwicklung zu verhindern. Erkenntnis und Umsetzung sind jedoch zwei verschiedene Dinge, und da in den meisten tertiären Entwicklungsprogrammen courses jeglicher Kontext zu sicheren Kodierungspraktiken fehlt, liegt es oft am Arbeitsplatz des Entwicklers, das Defizit auszugleichen. Wenn der Aufbau von Fähigkeiten und die Weitergabe von Wissen selten oder irrelevant sind, dann wird dies wahrscheinlich unwirksam sein. Und so bleibt der Kreislauf der wiederkehrenden Schwachstellen aufgrund mangelnder Kompetenzentwicklung ungebrochen. 

Natürlich ist es nicht die Aufgabe des durchschnittlichen Softwareentwicklers, die Cybersecurity-Probleme der Welt zu lösen; schließlich stellen Unternehmen nicht ohne Grund diese sehr teuren Sicherheitsexperten ein. Sicherheitsgurus sind jedoch Mangelware, und Entwickler können sicherlich eine Rolle dabei spielen, die Belastung zu verringern. 

Doch was bedeutet das für uns - und für die Anbieter, die Software für kritische Infrastrukturen und sensible Organisationen entwickeln - im Hinblick auf die Verhinderung eines verheerenden Cyberangriffs? Es wird zumindest eine Änderung des Status quo bei der Softwarebeschaffung erforderlich sein.

Die Fallstricke, die einer sicheren Software-Lieferkette im Wege stehen

Das alte Sprichwort, dass eine Kette nur so stark ist wie ihr schwächstes Glied, trifft leider auch auf die Softwareversorgung zu. Es spielt wirklich keine Rolle, ob Ihr Unternehmen mit verstärkten Best Practices für die Sicherheit, Investitionen in die Weiterbildung von Entwicklern und dem Übergang zu einer funktionalen DevSecOps-Umgebung (d. h. jeder ist mitverantwortlich dafür, dass die Software so sicher wie möglich hergestellt wird) an den Start gegangen ist; wenn Sie Software von einem Anbieter verwenden, der Sicherheitsprobleme hat, werden Sie diese in Ihr Ökosystem übernehmen und die Konsequenzen tragen.

Sicherlich sollte das Sicherheitsteam dazu beitragen, die Sicherheit von Drittanbieter-Ergänzungen zum Tech-Stack zu bewerten, aber Entscheidungen können auf der Grundlage eines geschäftlichen Bedarfs getroffen werden, wobei die Auswahl an Lösungen gering ist. An diesem Punkt kann es sich um eine Vertrauensfrage handeln. Ist dem Anbieter die Sicherheit genauso wichtig wie Ihrem Unternehmen? Und kann der Anbieter die Risiken tatsächlich so einschätzen, wie nur Sie sie verstehen können, sowie die Werte, die Sie schützen müssen?

Transparenz ist ein wichtiger Faktor bei der Beurteilung der Sicherheit von Software-Ergänzungen des Anbieters. Sind die Anbieter offen mit ihren eigenen Sicherheitspraktiken umgegangen? Sie sollten stolz auf ihren Ansatz sein, Daten sicher zu halten, und dies sollte oberste Priorität haben. Wenn die Sicherheitspraktiken nirgendwo veröffentlicht werden oder keine Informationen verfügbar sind, ist die Wahrscheinlichkeit groß, dass die Sicherheit nicht im Vordergrund steht. Der Anbieter sollte in der Lage sein, technische Fragen zu beantworten, und unabhängige Zertifizierungen wie ISO27001 und SOC2 können ebenfalls nicht schaden. Wenn Sie nicht in der Lage sind, "unter die Haube" zu schauen und im Rahmen Ihrer eigenen internen Sorgfaltspflicht und Sicherheitspraktiken nach Schwachstellen zu suchen, sollten Sie die Sache vergessen.

Da die Nachfrage eine derartig schnelle Umsetzung von Softwareanforderungen vorantreibt, insbesondere wenn der Code des Anbieters in bestehende Systeme eingefügt wird, um Aktionen in einem neuen Kontext auszuführen, müssen sowohl der Anbieter als auch der Abnehmer auf der Höhe der Zeit sein, und beide sollten ihre Entwickler vor Ort haben, um häufige Sicherheitsfehler und Schwachstellen zu finden, bevor sie ausgeliefert werden. Es könnten Hunderte - oder Tausende - von Abhängigkeiten gefährdet sein, wenn ein neuer Zusatz zum bestehenden Spinnennetz der technischen Lösungen hinzugefügt wird, und ein kleiner Fehler könnte zu einem katastrophalen Untergang führen.

Was ist also die Lösung? Alles intern von Grund auf neu programmieren? Wenn wir uns im Jahr 1998 befänden, würde das vielleicht Sinn machen. Aber so wie wir heute nicht mehr "Jeeves" fragen, wo die nächste Autowaschanlage ist, müssen wir realistische Sicherheitsvorkehrungen treffen, die im heutigen Kontext funktionieren.

Es gibt immer noch kein Patentrezept, aber es gibt Lösungen

Für Käufer sollte die Sicherheit assessment der Anbietersoftware und der Entwicklungspraktiken eine Priorität des gesamten Sicherheitsprogramms und des Risikominderungsplans sein. Stellen Sie Fragen zu den Zertifizierungen, Praktiken und der Sicherheitsreputation der Entwickler.

Anbieter (und in der Tat alle Unternehmen, die Software entwickeln) müssen darauf vorbereitet sein zu zeigen, dass die Sicherheit an erster Stelle steht, und sollten sich auf die Weiterbildung von Mitarbeitern konzentrieren. Sicherheitskompetente Entwickler sind sehr gefragt, und mit den richtigen Werkzeugen und der richtigen Unterstützung können sie aus Ihrem bestehenden Team aufgebaut und in die Lage versetzt werden, Angriffe auf gängige Schwachstellen abzuwehren. Aber geben Sie ihnen nicht einfach irgendeine Schulung. Geben Sie ihnen Zeit, sich mit Sicherheitswerkzeugen zurechtzufinden, die ihre bestehenden Arbeitsabläufe ergänzen. Machen Sie es ihnen so einfach wie möglich, und beobachten Sie, wie sich die lästigen Bugs im Code, der das Unternehmen antreibt, langsam ausdünnen.

Die Quintessenz ist, dass jedes Softwarerisiko sich sofort verschlimmert, wenn es Teil der Lieferkette ist und alle Benutzer und alle Systeme betrifft, in denen anfällige Komponenten verwendet wurden. Wenn die Anbieter die Sicherheit nicht so ernst nehmen wie die Unternehmen, die ihre Software implementieren - oder wenn es sowohl dem Anbieter als auch dem Unternehmen an Sicherheitsprogrammen mangelt -, dann werden verheerende, weitreichende Angriffe auf die Lieferkette wie SolarWinds unweigerlich zur Norm werden - und das ist ein kritisches Problem für alle.

Wir bitten Sie um Ihre Erlaubnis, Ihnen Informationen über unsere Produkte und/oder verwandte Themen der sicheren Codierung zuzusenden. Wir werden Ihre persönlichen Daten immer mit äußerster Sorgfalt behandeln und sie niemals zu Marketingzwecken an andere Unternehmen verkaufen.

Um das Formular abzuschicken, aktivieren Sie bitte "Analytics"-Cookies. Sie können die Cookies wieder deaktivieren, sobald Sie fertig sind.