:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Angriffe auf die Software-Supply-Chain auch kostenlos verhindern 7 Tools für die Absicherung der Softwarelieferkette
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Cyberangriffe auf die Software-Supply-Chain können für Unternehmen weitreichende Konsequenzen nach sich ziehen. Aus diesem Grund sollten die Verantwortlichen dafür sorgen, dass die Lieferkette so sicher wie möglich ist. Dabei helfen Zusatztools, mit denen die Sicherheit deutlich erhöht werden kann.
In vielen Fällen bestehen Anwendungen und Lösungen in Unternehmen nicht mehr aus Code-Bestandteilen, die komplett selbst geschrieben oder auf Basis einer gemeinsamen Codeplattform entwickelt wurden. Oft enthalten Anwendungen zusätzliche Komponenten, meistens auf Basis von Open Source. Dabei besteht aber die Gefahr, dass Sicherheitslücken dieser Komponenten auch auf den Rest der Anwendung Auswirkung haben. Dieser externe Code ist leider nicht immer gut dokumentiert.
:quality(80)/p7i.vogel.de/wcms/1b/ed/1bed1a5ca3a2dc167c348e427021f64a/0108731262.jpeg "Tools wie CrowdSec helfen mit einer Community dabei sicherzustellen, dass unsicherer Code schnell erkannt wird. Sinnvoll ist der Einsatz auch bei der Log4j-Lücke.")
:quality(80)/p7i.vogel.de/wcms/3b/29/3b29cdb57e1d990bf904e6cb86575a33/0108731260.jpeg "CrowdSec kann auch in Windows zum Einsatz kommen, also nicht nur von Entwicklern. Die Steuerung kann in der PowerShell erfolgen.")
:quality(80)/p7i.vogel.de/wcms/12/51/1251a7223d55ba17396e6b75dd04261d/0108731261.jpeg "Installieren von CrowdSec auf einem Windows-Server für das Testen nach Sicherheitslücken der eingesetzten Software.")
:quality(80)/p7i.vogel.de/wcms/5d/81/5d812cdc30445269184f803bf74cb3e7/0108731266.jpeg "Mit Szenarions kann CrowdSec auch Sicherheitslücken wie bei Log4j erkennen und Netzwerke absichern.")
Um diesen Vorteil zu nutzen, ist es sinnvoll wichtige Informationen der eingesetzten Open Source-Komponenten zu dokumentieren, um damit die Software-Lieferkette auf stabile Beine zu stellen. Bei einer Software-Stückliste (Software Bill of Materials, SBOM) gibt es für jede Anwendung eine umfassende Liste von externen Komponenten und auch deren Version. So lässt sich jederzeit exakt nachverfolgen, wo Nacharbeiten, Aktualisierungen oder Verbesserungen notwendig sind. Wir stellen in diesem Beitrag einige Lösungen aus diesem Bereich vor. Viele bieten einen kostenlosen Einstieg, mit dem Entwickler schnell erste Schritte in der Praxis durchführen und ihren Code schnell absichern können.
App-Scanner und Software-Kataloge helfen bei der Absicherung von Software
Wenn dann noch kein Softwarekatalog vorhanden ist, aus dem hervorgeht aus welchen Bestandteilen eine Software besteht, gehen Unternehmen nahezu unkalkulierbare Risiken ein, weil sie nicht wissen, ob Anwendungen Lücken enthalten, weil bereits die Komponenten Lücken aufweisen, die wiederum von Angreifern ausgenutzt werden. Ein Beispiel dafür ist die Log4j-Schwachstelle. Die Java-Bibliothek ist in vielen Anwendungen enthalten, ohne dass Unternehmen das wissen.
Das Verzichten auf Open Source-Komponenten ist kein sinnvoller Weg, da die Funktionen der Open Source-Komponenten oft notwendig sind, um auch die Funktionalität der Anwendungen bereitzustellen. Stücklisten sind ein wichtiger Ansatz, da dadurch eine Liste vorhanden ist, welche Komponenten in einer Anwendung vorhanden sind. Dadurch lässt sich auch schnell feststellen, ob eine Anwendung auf Grund der Open Source-Komponenten Sicherheitslücken vorhanden sind.
Laut einer Umfrage des Softwareunternehmens Synopsys verwenden inzwischen fast drei Viertel der befragten Unternehmen AppSec-Tools für mehr als die Hälfte ihrer Softwareprojekte. Gartner hat diese Vorgehensweise bereits 2019 als „Application Security Orchestration and Correlation“ bezeichnet. AppSec-Tools in Softwareprojekten und Application Security Testing-Tools stellen zusammen mit entsprechenden Entwicklungs-Pipelines in DevOps-Umgebungen sicher, dass die gelieferten Anwendungen, inklusive aller Komponenten, maximal sicher sind und es in Zukunft auch bleiben. Eine Integration in CI/CD-Pipelines ist in dieser Hinsicht ein weiterer Bestandteil. Die verwendeten AppSec-Scanner laufen in der Pipeline ständig mit und untersuchen integrierte Komponenten.
Crowd Security kann auch gegen Angreifer auf Software-Lieferketten zum Einsatz kommen
Crowd Security kann vor allem dann zum Einsatz kommen, wenn eine Community gemeinsam gegen Cyberkriminelle vorgeht. Tools wie CrowdSec können auf Rechnern der Mitglieder einer Community auch gegen Angriffe auf Log4j vorgehen. Die Mitglieder der Community erhalten Informationen der ausgewerteten Daten und können dadurch ihr eigenes Intrusion Detection System (IDS) aufbauen.
Alle Teilnehmer im System sammeln Daten ein und stellen die Daten den anderen Teilnehmern zur Verfügung. Dadurch haben alle Mitglieder der Community Zugriff auf die Daten der anderen Mitglieder und sind vor Angriffen besser gewappnet. Crowd Security-Systeme arbeiten parallel noch mit Honeypots, um Angreifer anzulocken. Lösungen wie CrowdSec konnten schon Erfolge gegen die Lücken in der Java-Bibliothek Log4j verzeichnen.
Entwickler und Security-Team in perfekter Kooperation: CodeSec
Entwickler können mit Tools aus dem Bereich Interactive Application Security Testing (IAST) dafür sorgen, dass der Code von Beginn an sicher programmiert ist, und daher Sicherheitslücken, so weit es nur möglich ist, vermieden werden. Contrast Security bietet mit CodeSec Tools, mit denen sich SBOMs erstellen und Programmcode auf Sicherheitslücken überprüfen lässt. Der Einstieg in die Software ist kostenlos möglich. Das Tool kann Code testen, eine SBOM erstellen und auch exakt dokumentieren wo es Schwachstellen gibt.
AppSec-Plattform von ShiftLeft kann auch kostenlos genutzt werden
ShiftLeft ist eine Code-Sicherheitsplattform für Entwickler, die SAST, Secrets Detection, Insights, intelligente Software Composition Analysis (SCA) und Sicherheitstraining kombiniert. Die Lösung basiert auf dem Code Property Graph (CPG). Damit ist es möglich den Kontrollfluss, die Programmabhängigkeiten und die Syntaxbäume von Anwendungen in einer einzigen Datenstruktur abbildet. ShiftLeft unterstützt aktuell C#, Go, Java, JavaScript/TypeScript, Kotlin, Python und Scala. Der Free-Plan ist zwar gegenüber den kostenpflichtigen Plänen etwas eingeschränkt, ist für den Einstieg aber mehr als ausreichend.
Snyk scannt eingebettete Open Source und eigenen Code sowie Container
Auch die Lösung von Snyk steht für den Einstieg kostenlos zur Verfügung und kann Programmcode zum Beispiel direkt aus GitHub heraus scannen. Dabei kann das Tool Open Source scannen oder auch den selbst geschriebenen Code.
Sonatype Free Vulnerability Scanner und Co.
Weitere Tools in diesem Bereich sind Sonatype, Synopsis Black Duck, Veracode und Mend. Sonatype bietet in diesem Zusammenhang auch den Nexus Vulnerability Scanner zur kostenlosen Nutzung an. Damit kann Open Source auf Sicherheitslücken überprüft werden.
(ID:48828520)
:quality(80)/p7i.vogel.de/wcms/c1/8f/c18fa82b8869c380bbbb509ed0f7b912/0113613521.jpeg "Mit einer SBOM kann die Branche dafür sorgen, dass Hacker keine bösartigen Artefakte in der Software-Supply-Chain platzieren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")