Softwarerisiken von Drittanbietern wachsen, doch nebensächlich Lösungen

FORRESTER SECURITY & RISK CONFERENCE – Unternehmen sollen Maßnahmen ergreifen, um dasjenige Risiko von Drittanbieter-Software in jener Supply Chain, die in den letzten Jahren stark zugenommen hat, zu minimieren, rieten Analysten hinauf jener Forrester Security & Risk 2021 Conference jene Woche.

Die Sorge entsteht, da externe Angriffe zunehmend durch Schwachstellen in Software von Drittanbietern erfolgen, wie z. B. Open-Source-Projekte oder eine Verletzung eines Drittanbieters. Laut einer Forrester-Umfrage unter 530 Sicherheitsentscheidungen werden mehr denn ein Drittel jener externen Angriffe (35 %) durch dasjenige Ausnutzen einer Schwachstelle umgesetzt, während ein weiteres Drittel (33 %) durch die Verletzung eines Drittanbieterdienstes oder Softwareherstellers verursacht wird. Macher.

Dasjenige wachsende Risiko von Drittanbietern droht die Sicherheit von Unternehmensanwendungen zu untergraben, wenn Unternehmen keine Schritte unternehmen, um dasjenige Problem zu zügeln, sagte Alla Valente, Senior Problemanalytiker für Forrester, während eines Runden Tisches hinauf jener Meeting.

„Wir nach sich ziehen ein großes Risiko zum Besten von Dritte und es eskaliert nur, und ein Teil des Grundes ist, dass es mehr Dritte gibt, denn wir je hatten“, sagte sie. “Wenn du nicht erschaffen hast [a particular application] und Sie verlassen sich hinauf der gerne Süßigkeiten isst anderen, um es aufrechtzuerhalten, die Entwicklungsmöglichkeiten stillstehen gut … [ security] wird nicht fertig.”

Dasjenige Themenbereich wird im Jahr 2022 an Einfluss profitieren, da die Regierungen damit beginnen, Richtlinien zum Besten von sichere Software zu planen. Die Biden-Regierung zum Paradebeispiel unterzeichnete im Mai eine Durchführungsverordnung, in jener dasjenige Nationalistisch Institute of Standards and Technology (NIST) aufgefordert wird, Richtlinien zum Besten von bundesstaatliche Auftragnehmer zu planen, um Software besser zu sichern. Die Richtlinien daherkommen die Zurverfügungstellung einer Software-Stückliste (SBOM) zum Besten von die Regierung zum Besten von ihre Produkte und die Ratifikation jener Sicherheit jener Build-Umgebungen jener Entwickler. NIST hat schon Richtlinienentwürfe zur Sicherung von Geräten und Software zum Besten von dasjenige Netz jener Sachen erstellt und im September verschmelzen Workshop mit jener Industrie veranstaltet, um die Themen zu diskutieren.

SBOMs sind eine Schlüsselkomponente zum Besten von Unternehmen, um ihr Risiko zu verstehen und Softwarekomponenten sowie erweiterte Abhängigkeiten zu identifizieren, die die Sicherheit einer Einsatz untergraben könnten, sagte Chris Condo, Principal Problemanalytiker für Forrester, während jener Präsentation.

“Die meisten Entwickler verbinden sich störungsfrei mit einem Repository und laden die neuesten Softwareversionen jener von ihnen verwendeten Pakete herunter, doch werden jene Pakete hinauf Schwachstellen überprüft und verwenden sämtliche sogar dieselbe Version?” Condo sagte und fügte hinzu, dass Unternehmen ohne Schwerpunkt hinauf solche Probleme nur Sicherheitsprobleme verzögern. “Sie schaffen mehr technische Verdanken, mehr Sicherheitsprobleme, die Sie nachgelagert hinauf teurere Weise lockern sollen.”

Die Inkonsistenz von Open-Source-Software ist nachher wie vor ein zentrales Themenbereich. Während Hauptpakete normalerweise gut verwaltet werden, verwenden viele Unternehmen am Finale Pakete – oft durch Abhängigkeiten häufigerer Komponenten –, die nicht so gut verwaltet werden und Schwachstellen sein Eigen nennen können.

Während die durchschnittliche Zeit, in jener Open-Source-Softwareprojekte Schwachstellen beheben, offensichtlich gesunken ist (von 371 Tagen im Jahr 2011 hinauf 28 Tage im Jahr 2021), ist die Reihe jener Pakete, die von den großen Ökosystemen gehostet werden, offensichtlich gestiegen – laut a . im letzten Jahr 20 % Depesche des Software-Sicherheitsunternehmens Sonatype veröffentlicht.

Unternehmen sollen sich mit den Paketen befassen, hinauf die sie sich zum Besten von die Softwareentwicklung verlassen, und feststellen, ob sie ein Sicherheitsproblem darstellen, sagte Condo. „Es ist wirklich wichtig zu verstehen, wovon Sie tatsächlich gebunden sind, wo ist dasjenige schwächste Zauberstab, wo werden jene Probleme entstehen und sollten wir irgendwas verwenden, dasjenige ein proprietäres Päckchen oder irgendwas Kuratiertes ist“, sagte er.

Welcher KI/ML-Kriterium
Da Unternehmen zunehmend Analysen basierend hinauf künstlicher Intelligenz und maschinellem Lernen (KI/ML) betreiben, stillstehen sie vor ähnlichen Problemen. KI/ML stellt eine besondere Facette des Open-Source-Problems dar, da ein Majorität jener Algorithmen in Open-Source-Projekten kodiert ist. Unternehmen sollten feststellen, ob jene Komponenten ein Risiko zum Besten von ihr Geschäftslokal darstellen, sagte Problemanalytiker Valente.

„Unternehmen nutzen KI und maschinelles Lernen, und die Frage ist nicht, ob sie KI und ML einsetzen werden, sondern ob sie sie kaufen oder konstruieren“, sagte Valente. „Wenn sie ML- oder KI-Modelle kaufen, pflegen sie dasjenige nicht – in vielen Fällen handelt es sich um Open Source, und sogar kommerzielle Software ist zu 75 % solange bis 90 % Open Source.“

Schließlich sollen sich Unternehmen früher im Prozess hinauf Sicherheitsfragen verdichten. Die Feststellung, dass eine Open-Source-Unmündigkeit ein Sicherheitsproblem darstellt, und deren Entfernung aus jener Betrachtung ist weitaus kostengünstiger denn jener Versuch, Sicherheitsprobleme in jener Software nachher jener Zurverfügungstellung zu schließen, sagte Condo.

“Sie schaffen mehr technische Verdanken, mehr Sicherheitsprobleme, die Sie nachgelagert hinauf teurere Weise lockern sollen”, sagte Condo und fügte hinzu, dass Sicherheit Teil jener gesamten Softwareentwicklungskette sein sollte. „Wenn Sie darüber nachgedacht nach sich ziehen, Ihre Sicherheit wirklich nachher sinister zu verlagern und Gestalter, die Bedrohungsmodellierung machen, nachsehen Sie dies mit einem Sicherheitsexperten und denken Sie darüber nachher [things like] wo Datenmaterial gespeichert werden sollen und wie man manche dieser APIs sichert.”