Legen Softwareanbieter genauso viel Wert auf Sicherheit wie Sie?

Eine Version dieses Artikels erschien in Sicherheitsmagazin. Es wurde hier aktualisiert und syndiziert.
Für Sicherheitsexperten ist der 13. Dezember etwas Besonderes. Ist es der Tag, an dem wir die SQL-Injection endlich für immer ausgerottet haben? Natürlich nicht. Vielleicht ist heute der „International Security Worker Appreciation Day“? Ebenfalls nein. Es ist der Tag, an dem FireEye und Mandiant ihren schockierenden Bericht über ein bisher Unbekanntes veröffentlichten globale Intrusionskampagne das würde als SolarWinds bekannt werden. In dem Bericht wurde ein andauernder und fast unglaublicher Angriff beschrieben, bei dem bösartiger Code tief in den Softwareupdates der beliebten Orion-Managementsoftware von SolarWind versteckt war.
Über 18.000 SolarWinds-Kunden hatten das beschädigte Update bereits heruntergeladen. Viele von ihnen haben es automatisch getan, genau wie sie es bei Hunderten anderer Softwareupdates in ihren Organisationen und Netzwerken getan haben. Die Angreifer waren bei der Auswahl ihrer Angriffe äußerst wählerisch, nachdem sie durch den SolarWinds-Angriff Zugriff erhalten hatten. Vielen großen Unternehmen sowie Regierungsbehörden wurden ihre Daten gestohlen und ihre Netzwerke kompromittiert. Es war eines der größten und wahrscheinlich teuerster Verstoß aller Zeiten, zumal im Fall von Regierungsbehörden das volle Ausmaß des Schadens nie öffentlich bekannt gegeben wurde.
Und das alles geschah, weil die Leute den Anbietern innerhalb ihrer Software-Lieferkette vertrauten, ohne ihre Aktivitäten ordnungsgemäß zu überprüfen oder zu überprüfen.
Die massive Umstellung auf Lieferkettensicherheit
Sobald der Alarm ausgelöst wurde, reagierten Unternehmen, Organisationen und Regierungsbehörden schnell. Die Sicherheitslücke bei SolarWinds wurde natürlich gestoppt, aber der Angriff deckte auch die Gefahren einer ungeregelten und unüberwachten Software-Lieferkette auf. Der SolarWinds-Vorfall wurde zwar schnell behoben, sobald er entdeckt wurde, aber die Auswirkungen darauf, wie die Lieferkette als Angriffsvektor genutzt wurde, dauern immer noch an. Wenn aus dem Angriff nichts Gutes wurde, rückte er zumindest einen kritischen, aber übersehenen Aspekt der Cybersicherheit ins Rampenlicht.
Eine der bekanntesten Reaktionen auf den SolarWinds-Angriff war die von Präsident Biden Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes. Die Verordnung ist eine der umfassendsten Cybersicherheitsrichtlinien, die jemals in den Vereinigten Staaten erlassen wurden. Sie fordert eine bessere Cybersicherheit bei Behörden und für diejenigen, die mit der Regierung Geschäfte machen, befürwortet fortschrittliche Schutzmaßnahmen wie Zero-Trust-Netzwerke und betont die Notwendigkeit der Sicherheit der Software-Lieferkette.
Die EO ist zwar spezifisch für die Regierung, aber auch andere Gruppen haben begonnen, die Bedeutung der Lieferkettensicherheit zu betonen, um einen weiteren Angriff im Stil von SolarWinds zu verhindern. Zum Beispiel hat Palo Alto kürzlich seine veröffentlicht Einheit 42 Cloud-Bedrohungsbericht mit dem Titel „Sichern Sie die Software-Lieferkette, um die Cloud abzusichern“. In dem Bericht heißt es, dass keine Cloud-Bereitstellung ohne die Sicherheit der Software-Lieferkette absolut sicher ist. Und die Cloud Native Computing Foundation stimmt zu und veröffentlicht eine weißes Papier detaillierte Beschreibung der Best Practices für wichtige Softwarelieferketten, die im Zuge der Einführung von SolarWinds befolgt werden müssen.
Man kann mit Sicherheit sagen, dass die letzten Jahre die Cybersicherheitsstandards grundlegend verändert haben, und obwohl dies nicht verpflichtend ist, sollte es für alle Unternehmen ein Ziel sein, diesem Beispiel zu folgen und die Sicherheitspraktiken der Anbieter unter die Lupe zu nehmen, als ob sie Teil ihres eigenen internen Sicherheitsprogramms wären. Initiativen wie die neuen von CISA Strategischer Plan liefert weitere Belege dafür, dass die Herangehensweise an Sicherheit als gemeinsame Verantwortung Teil eines neuen Standards für alle Softwareentwickler ist, insbesondere für diejenigen, die an kritischen Infrastrukturen oder der Softwarelieferkette beteiligt sind.
Was können Unternehmen tun, um ihre Software-Lieferketten zu verbessern?
In dieser Situation fragen sich viele Anbieter zu Recht, was sie tun können, um ihre eigenen Lieferketten zu schützen. Was kann ein Unternehmen tun, um sicherzustellen, dass sich seine Anbieter genauso um Cybersicherheit kümmern wie sie?
Die EO beschreibt insbesondere den Einfluss von Softwareentwicklern und die Notwendigkeit, dass sie verifizierte Sicherheitsfähigkeiten und Sensibilisierung, ein Bereich, der in einer Branche, die von Tools besessen ist, oft vergessen wird, anstatt sich auf die Verteidigung durch wichtige Sicherheitskompetenzen zu konzentrieren.
Es hat sich herausgestellt, dass jeder umfassende Cybersicherheitsansatz heutzutage unbedingt eine detaillierte Risikobewertung durch Dritte beinhalten muss, die die vorhandenen technischen Sicherheitskontrollen abdeckt und bewertet, wie Partner die Unternehmensführung, das Risiko und die Einhaltung von Vorschriften in ihren eigenen Organisationen betrachten.
Alle Bewertungen durch Dritte sollten Zusicherungen und detaillierte Pläne darüber beinhalten, wie diejenigen in Ihrer Software-Lieferkette planen, sichere Programmaktualisierungen mit verifizierten Zertifikatssignaturen zu veröffentlichen, und wie sie dazu beitragen, die Identitäten all ihrer Software und Geräte zu verwalten. Es sollte auch einen klaren Weg für kryptografische Upgrades und Updates für ihre Produkte aufzeigen.
Und jetzt, da Entwickler endlich als wichtiger Bestandteil der Sicherheit in der Software-Lieferkette angesehen werden, sollte jede Bewertung auch einen Bericht enthalten, in dem detailliert beschrieben wird, wie sie sichere Codierung und kontinuierliche Verbesserung innerhalb ihrer Entwicklungsgemeinschaft fördern, und idealerweise ein Benchmarking ihrer Fähigkeiten und aktuellen Schulungen. Wir wissen, dass der Schwerpunkt auf der Weiterbildung von Entwicklern immer mehr liegt, aber 48% der Entwickler haben zugegeben, wissentlich anfälligen Code versendet zu haben.
Faktoren wie Zeitbeschränkungen und die Tatsache, dass Sicherheit in ihrer Welt einfach keine oberste Priorität (und auch kein Erfolgsmaßstab) hat, tragen dazu bei, dass Sicherheitslücken auf Codeebene nicht so früh behoben werden, wie sie sollten. Wenn wir verhindern wollen, dass sie die Software-Lieferkette infizieren, jeden Die Organisation muss sich zu einem entwicklerfreundlicheren Sicherheitsprogramm verpflichten.
Die nächsten Schritte?
Risikobewertungen sind von entscheidender Bedeutung, denn wenn Sie Software von einem Anbieter verwenden, der Sicherheitsprobleme hat, werden Sie diese in Ihr Ökosystem übernehmen und die Konsequenzen tragen. Unternehmen sollten sich jedoch auch darüber im Klaren sein, dass es möglich ist, dass ihre Anbieter tatsächlich sicherer sind und ihre Entwickler-Communities sogar besser unterstützen können.
Sie können eine Risikobewertung durch Dritte als sekundäre Methode zur Bewertung Ihrer eigenen Sicherheit verwenden. Wenn ein Anbieter einen Sicherheitsaspekt besser handhabt als Sie intern, können Sie seine Methoden anwenden, um Ihr eigenes Unternehmen zu verbessern.
Schließlich besteht der nächste große Schritt zur wirklichen Verbesserung der Software-Lieferkette darin, sichere Codierungszertifizierungen für Entwickler zu implementieren. Ein guter Plan ist der erste Schritt, aber auch die Überprüfung, ob er tatsächlich befolgt wird und zur Erstellung von sicherem Code beiträgt, ist ebenfalls eine Notwendigkeit.
Solange wir nicht an einem Punkt angelangt sind, an dem die Unterstützung von Entwicklern im Bereich der sicheren Codierung die Norm ist, hinken wir immer hinterher, wenn es darum geht, Gelegenheiten zu schließen, bevor Bedrohungsakteure hineinschauen können. Es ist jedoch nie zu spät, mit der richtigen Unterstützung eine positive Wirkung zu erzielen. Erfahren Sie, wie Ihre Entwickler mithilfe von agilem Lernen relevante, wirkungsvolle Sicherheitskompetenzen verbessern können jetzt.
Govern AI-driven development before it ships
Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.
Explore more blogs
Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.
%252520%252520(3).avif)
Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Security as culture: How Blue Prism cultivates world-class secure developers
Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

One Culture of Security: How Sage built their security champions program with agile secure code learning
Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.
.webp)
Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)
Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.
Secure AI-driven development before it ships
See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

