FragMichMa
Now Reading
World Wide Web AppSec bleibt miserabel und erfordert nachhaltige Maßnahmen im Jahr 2023
FragMichMa
FragMichMa

World Wide Web AppSec bleibt miserabel und erfordert nachhaltige Maßnahmen im Jahr 2023

by
December 27, 2022
Internet AppSec bleibt miserabel und erfordert nachhaltige Maßnahmen im Jahr 2023

[ad_1]

Können wir ein verteidigungsfähiges World Wide Web trösten? Um die Sicherheit des Internets und jener von ihm unterstützten Cloud-Anwendungen im Jahr 2023 zu verbessern, zu tun sein wir uns verbessern, sagen Experten. Viel besser.

Werden 2022 nach sich ziehen sich Unternehmen denn bemüht, eine kritische Schwachstelle in einer weit verbreiteten Komponente vieler Anwendungen zu finden und zu mindern: jener Log4j-Bibliothek. Die folgenden 12 Monate jener Log4Shell-Probleme machten merklich, dass die meisten Unternehmen nicht nicht mehr da Softwarekomponenten Kontakt haben, aus denen ihre mit dem World Wide Web verbundenen Anwendungen gegeben, keine Prozesse zur regelmäßigen Inspektion von Konfigurationen nach sich ziehen und keine Wege finden, Sicherheit im Kontext ihren Entwicklern zu integrieren und Anreize hierfür zu schaffen.

Dasjenige Ergebnis? Mit jener Zunahme jener Telearbeit nachher jener weltweite Seuche nach sich ziehen viele Unternehmen ihre Fähigkeit verloren, Anwendungen zu zeitweilig ausschließen, und Telearbeiter und Verbraucher sind anfälliger zum Besten von Cyberangriffe aus jeder Winkel, sagt Brian Fox, Chief Technology Officer im Kontext Sonatype, einem Softwaresicherheitsunternehmen.

„Perimeter Defense und Legacy-Verhalten funktionierten, wie Sie physische Perimetersicherheit hatten – im Grunde ging jeder in ein Büro – nichtsdestoweniger wie halten Sie dasjenige mannhaft, wenn Sie eine Belegschaft nach sich ziehen, die zunehmend von zu Hause oder einem Kaffeehaus aus arbeitet?“ er sagt. “Sie nach sich ziehen selbige Sicherheit- und Verteidigungsanlagen weit.”

Dasjenige Jahr 2022 neigt sich dem Finale zu, Unternehmen ringen weiterhin gegen unsichere Anwendungen, anfällige Softwarekomponenten und die große Angriffsfläche von Cloud-Diensten.

Die Lücken in jener Software Supply Chain bleiben gegeben

Gleichermaßen wenn die Angriffe hinaus die Softwarelieferkette im Jahr 2021 um 633 % gestiegen sind, verfügen Unternehmen immer noch nicht droben die Prozesse, um selbst einfache Sicherheitsprüfungen durchzuführen, wie z. B. dasjenige Aussortieren bekannter anfälliger Abhängigkeiten. Im März stellte Sonatype zum Beispiel verkrampft, dass 41 % jener heruntergeladenen Log4j-Komponenten anfällige Versionen waren.

Unterdessen verlagern Unternehmen ihre Unterbau zunehmend in die Cloud und übernehmen mehr Webanwendungen, verdreifachen ihre Nutzung von APIs, wodurch dasjenige durchschnittliche Unternehmen 15.600 APIs verwendet, und jener Verkehrswesen zu APIs hat sich im letzten Jahr vervierfacht.

Welche zunehmend unübersichtliche Unterbau macht die menschliche Fehlbarkeit jener Benutzer zum natürlichen Angriffsvektor zum Besten von die Unternehmensinfrastruktur, sagt Tony Lauro, Director of Security Technology and Strategy im Kontext Akamai.

„Die unglückliche Wahrheit ist, dass, egal welches im Unternehmen passiert und wie gut man es sperrt und sichert, es Möglichkeiten gibt, die Benutzer anzugreifen“, sagt er. „Mit Ransomware und Schadsoftware, Phishing und Betrug können sie den Benutzer ausnutzen, wenn auch dasjenige Backend sicher ist.“

Cyberbedrohungen gegen Anwendungen werden immer größer

Um ein Exempel hierfür zu sehen, wie wenig Fortschritte die Cybersicherheit in den letzten drei Jahrzehnten gemacht hat, zu tun sein Unternehmen nicht weiter wie Phishing suchen. Die Social-Engineering-Technologie gibt es schon so gut wie so Menorrhagie wie Email, doch die überwiegende Mehrheit jener Unternehmen (83 %) hat im Jahr 2022 verschmelzen erfolgreichen Email-basierten Phishing-Überfall erlitten. Phishing führt leichtgewichtig zum Vereinen von Anmeldeinformationen und dann zur Kompromittierung von Webanwendungen und Cloud-Unterbau.

Die einfache Technologie kann mehrere Ebenen jener Anwendungssicherheit umgehen und Angreifern Zugang zu sensiblen Fakten, Systemen und Netzwerken verschaffen, sagte Daniel Cuthbert, International Head of Cyber ​​Security Research im Kontext Banco Santander, hinaus jener Sicherheitskonferenz Black Hat Europe in diesem Monat.

“Sie sollten in jener Standpunkt sein, hinaus irgendwas zu klicken, ohne dass es der gerne Süßigkeiten isst anderem eine umgekehrte Shell zuschiebt”, beklagte er sich. “Ist es so schwergewichtig zu fragen?”

Angreifer zusammenfassen sich nachrangig darauf, Anwendungen so anzugreifen, dass viele jener Sicherheitskontrollen am Rand des Netzwerks umgangen werden.

Aufwärts jener Black Hat Asia-Meeting im Mai skizzierten Forscher Möglichkeiten, Angriffe an Web Application Firewalls (WAFs) vorbeizuschmuggeln, um schädliche Payloads an und geschützte Anwendungen und ihre Datenbanken zu liefern. Im zwölfter Monat des Jahres demonstrierte dasjenige Cybersicherheitsunternehmen Claroty allgemeinere Angriffe mit JSON, um fünf große WAFs zu umgehen, darunter die von Amazon Web Services und Cloudflare. Im selben Monat nutzten zwei Forscher eine verwundbare Version von Spring Schiff, um die WAF von Akamai zu umgehen.

Unternehmen zu tun sein taktischer vorgehen, wenn es drum geht, wie sie sich hinaus WAFs verlassen, sagt Lauro von Akamai. Dasjenige sogenannte „virtuelle Patching“ – wenn die WAF verwendet wird, um die Nutzbarmachung von Schwachstellen zu blockieren, die noch nicht gepatcht sind oder noch nicht gepatcht werden können – ist eine wichtige Methode. Trotz verwenden zu viele Unternehmen WAFs, um schlecht konzipierte Anwendungen zu schützen, sagt er.

„Sie zu tun sein herausfinden, wie selbige Schwachstelle aus dem World Wide Web angegriffen werden könnte, und virtuelle Patches helfen derbei, nichtsdestoweniger wenn Sie sich im Netzwerk entscheiden, werde ich wie Angreifer wie Erstes nachher einigen dieser Zero-Days suchen und verwenden Sie sie, um sich seitwärts zu in Bewegung setzen”, sagt er.

Zukünftige AppSec erfordert Neuerung

Die Bemühungen, die grundlegenden Komponenten von Software durch Sicherung jener Software-Logistische Kette zu schützen, werden in naher Zukunft eine wichtige Quelle zum Besten von Innovationen sein. Welche Fortschritte nötig haben Zeit zum Besten von die Implementierung und sind keine Wundermittel, nichtsdestoweniger sie können zu einer weitaus robusteren Softwareentwicklung und einem weitaus robusteren Endprodukt resultieren, sagen Experten.

Entwicklern zum Beispiel droben Systeme wie Scorecard mehr Informationen droben die Komponenten bereitzustellen, die sie in ihre eigene Software importieren, hat erhebliche Sicherheitsvorteile. Scorecard überprüft eine Vielzahl von Softwareprojektattributen, z. B. ob die Software Binärcode enthält, gefährliche Entwicklungsworkflows hat oder signierte Releases hat. Solo selbige Informationen können laut jener Open Software Security Foundation (OpenSSF) mit einer Richtigkeit von 78 % feststellen, ob ein Projekt empfänglich ist.

Sigstore, mit dem jede Softwarekomponente signiert werden kann, ist eine weitere Technologie, die Entwicklern helfen wird, ihre Lieferketten zu verstehen und zu sichern, sagt John Speed ​​Meyers, leitender Sicherheitswissenschaftler im Kontext Chainguard, einem Softwaresicherheitsunternehmen.

„Ein wichtiger Stein zur Verhinderung von Kompromittierungen in jener Softwarelieferkette ist die weit verbreitete Verwendung digitaler Signaturen“, sagt er. “Dies trägt dazu im Kontext, die Wahrscheinlichkeit von Kompromissen in jener Software-Logistische Kette zu verringern und den Explosionsradius zu verringern, wenn es dazu kommt.”

Unternehmen können Cyber-sichere Anwendungsentscheidungen treffen

Während selbige Fortschritte im Softwareentwicklungsprozess zu sichererer Software resultieren können, kann die Wahl jener Sprache ebenfalls verschmelzen erheblichen Unterschied zeugen. Speichersichere Sprachen können schädliche Klassen von Softwarefehlern wie Pufferüberläufe und Use-after-Free-Schwachstellen so gut wie in die Ausgangslage zurückführen.

Google stellte zum Beispiel verkrampft, dass die Verwendung von speichersicheren Sprachen wie Java und Rust anstelle von Kohlenstoff und Kohlenstoff++ dazu führte, dass die Reihe jener Schwachstellen droben drei Jahre von 223 hinaus 85 gesenkt wurde.

Unternehmen zu tun sein Entwicklern mehr Unterstützung und Spielraum im Kontext jener Sortiment sicherer Tools und Frameworks schenken und sich nicht nur hinaus Produktivität und Funktionen zusammenfassen, sagt Fox von Sonatype.

„Es gibt eine neue Wirklichkeit, mit jener Unternehmen erwachen und umgehen zu tun sein, und zwar, dass die Entwickler am Finale des Tages diejenigen sind, die selbige Änderungen vornehmen zu tun sein, und die Organisationen zu tun sein ihre Probleme wiedererkennen und sie unterstützen ,” er sagt. „Entwickler finden ihre eigenen Tools, und sie wissen, dass dasjenige ein Problem ist, nichtsdestoweniger sie bekommen keine Unterstützung vom Unternehmen. Selbst in einer Welt, in jener Entwickler dasjenige Richtige tun wollen, werden sie von ihren Unternehmen zurückgehalten.“

Aufwärts Führungsebene zu tun sein Unternehmen ihre Kaufkraft nachrangig nutzen, um sich darauf zu zusammenfassen, ihre Lieferanten zum Besten von die Sicherheit ihrer Produkte zuständig zu zeugen, sagte Cuthbert von Banco Santander während seiner Keynote zu Black Hat Europe.

„Wenn wir uns mit dem Kauf von Produkten und Software befassen, ist die Wirklichkeit, dass wir nix Input nach sich ziehen, um sicherzustellen, dass selbige Lieferant und Produkte sicher sind“, sagte er. „Wir nach sich ziehen störungsfrei nicht selbige Mächtigkeit und wir nach sich ziehen keinen bedeutenden Macht.“

[ad_2]
View Comments (0)

Leave a Reply

Your email address will not be published.

Scroll To Top