SANS Institute, weltweit führender Anbieter von Cybersicherheitsschulungen und -zertifizierungen, veröffentlicht die Ergebnisse des Detecting and Preventing Software Dependency Attacks Reports 2022. Supply Chain-Attacken waren das dominante Thema der letzten Jahre. Im Fokus von Software Dependency Attacken stehen vor allem Verbraucher und Entwickler.
Bedrohungsakteure wissen, dass die Abhängigkeiten von Standard-Business Software ein einfacher Weg sind, um ihre Malware über viele Ziele zu verbreiten. Sie müssen lediglich einen Entwickler dazu verleiten, eine kompromittierte Software-Bibliothek, einen infizierten Docker-Container oder ein anderes ausführbares Modul in einem bereitgestellten Paket zu implementieren und schon haben sie einen kostengünstigen Supply-Chain-Angriff kreiert.
Weitere Möglichkeiten eine Software Dependency-Attacke zu starten sind:
- Kompromittierung eines Bibliotheks- oder Komponentenentwicklers
- Kompromittierung eines Dienstes oder Plug-ins, das bei der Erstellung, Speicherung oder Bereitstellung einer Komponente verwendet wird
- Kauf einer weit verbreiteten Komponente
- Kauf der E-Mail-Domäne, die mit einem Verwaltungskonto für eine Komponente verknüpft ist
- Kompromittierung des Update- (oder Auto-Update-) Mechanismus für die Komponente
Studienautor Jake Williams erklärt: „Software Supply Chain-Attacken sind aus Verteidigersicht eine Aufgabe des Third Party Risk Managements. Allerdings sind Third Party Risk Assessments nicht der richtige Weg Entwickler und Verbraucher vor diesen Attacken zu schützen. Vielmehr braucht es einen dreiteiligen Ansatz. Zum einen lassen sich Attacken verhinden, durch die Vermeidung, dass bei der Entwicklung bzw. Erstellung der Software Komponenten mit Hintertüren verwendet werden. Eine große Rolle spielt der zweite Schritt, dass die kompromittierten Komponenten überhaupt erkannt werden, bevor sie in die Software eingebaut werden. Zum dritten müssen diese Komponenten auch nach der Bereitstellung und Verbreitung der Software erkannt werden.“
Jake Williams
Zur Erkennung vor und nach der Bereitstellung von Software vor allem Standard Business-Software eingeschleusten Schadcodes gibt es eine ganze Reihe von Tools wie SBOMs, SCAs, SAST sowie zahlreicher altbewerter und neuer Security-Technologien wie EDR, NDR, Threat Intelligence oder Container Monitoring. Wie sich die Tools und Technologien wirksam einsetzen lassen, zeigt Williams im Whitepaper auf.
Die Umfrage wurde von den Herstellern Check Point Software, Cisco Secure und Legit Security gesponsert.
Weiterführende Informationen:
- Die komplette Studie zur Umfrage können Sie hier herunterladen:
https://www.sans.org/white-papers/sans ... tware-dependency-attacks/
- Der Webcast kann hier nachgehört werden:
https://www.sans.org/webcasts/sans-202 ... tware-dependency-attacks/
Über das SANS Institute
Das SANS Institute wurde 1989 als kooperative Forschungs- und Bildungsorganisation gegründet. SANS ist der vertrauenswürdigste und größte Anbieter von Cybersicherheitsschulungen und -zertifizierungen für Fachleute in staatlichen und kommerziellen Organisationen weltweit. Die renommierten SANS-Instructors unterrichten über 60 verschiedene Kurse im Klassenraum und virtuell während der Live-Schulungsveranstaltungen zur Cybersicherheit. Sie sind alle auch über die OnDemand-Plattform jederzeit verfügbar. GIAC, eine Tochtergesellschaft des SANS-Instituts, bestätigt die Qualifikation mit mehr als 35 praktischen, technischen Zertifizierungen im Bereich der Cybersicherheit. Das SANS Technology Institute, eine regional akkreditierte, unabhängige Tochtergesellschaft, bietet Master-Abschlüsse im Bereich der Cybersicherheit an. SANSSecurity Awareness, eine Abteilung des SANS Institutes, bietet Organisationen eine vollständige und umfassende Lösung für Security Awareness, die es ihnen ermöglicht, ihr „menschliches“ Cyber-Sicherheitsrisiko einfach und effektiv zu verwalten. SANS stellt der InfoSec-Gemeinschaft eine Vielzahl kostenloser Ressourcen zur Verfügung, darunter Konsensprojekte, Forschungsberichte und Newsletter; außerdem betreibt es das Internet-Frühwarnsystem, das Internet-Sturmzentrum. Das Herzstück von SANS sind die vielen Sicherheitsexperten, die verschiedene globale Organisationen von Unternehmen bis hin zu Universitäten vertreten und gemeinsam daran arbeiten, der gesamten Informationssicherheitsgemeinschaft zu helfen: https://www.sans.org
Symbolbild: Desola Lanre-Ologun (Unsplash)