Abwehr von Angriffen gegen die Software-Lieferkette

Mit Threat-Detection- und SBOM-Funktionen (Software Bill of Materials) von ReversingLabs verfügt der DigiCert^® Software Trust Manager über neue Technologien, die Anwendern eine frühzeitige Erkennung von Bedrohungen und Schwachstellen in ihrer Software vor dem Signaturprozess ermöglichen.

Eine weitere globale Pandemie?

Die Zahl der Angriffe auf Software-Lieferketten nimmt zu. Zu den prominenten Opfern aus der Technologiebranche zählen MSI, Intel, Microsoft, CircleCI oder 3CX, die davon gleichermaßen betroffen waren wie SolarWinds, Asus, Codecov, Docker Hub und A.P. Moller-Maersk. Niemand ist dagegen immun.

Einer aktuellen Gartner-Studie zufolge werden weltweit 45 Prozent der Unternehmen bis 2025 von Attacken auf ihre Softwarelieferkette betroffen sein. Eine andere Branchenanalyse kommt zu dem Ergebnis, dass die Zahl der Angriffe auf Software-Lieferketten in den vergangenen drei Jahren um 742 Prozent (kein Tippfehler — es sind tatsächlich siebenhundertzweiundvierzig Prozent!) gestiegen sind.

Software-Supply-Chain-Attacken treten dabei in unterschiedlichster Form auf. Einige Angriffe zielen auf ungeschützte Code-Signing-Schlüssel, um sie anschließend im Darknet verkaufen oder zur Signierung von Malware einsetzen zu können.

Andere nutzen Schwachstellen im Software-Entwicklungslebenszyklus eines Unternehmens aus und bauen heimlich eine Infrastruktur auf, um Malware direkt in das Softwareprodukt eines Unternehmens einzuschleusen. Wiederum andere Angriffe treten auf, wenn ein Unternehmen unwissentlich mit Malware verseuchte Software von Drittanbietern (z. B. Open-Source-Software) in sein Produktangebot integriert.

Die Angriffstechniken mögen variieren, aber die Auswirkungen auf das betroffene Unternehmen sind gleichermaßen schwer. Das reicht von verlorenem Kundenvertrauen und Rufschädigung bis zu schmerzhaften Umsatzverlusten des Umsatzes sowie Raub vertraulicher Kunden- oder Unternehmensdaten.

Wettrennen um Gegenmittel

Ähnlich wie bei der Abwehr eines sich ständig mutierenden Viruserregers erfordert diese globale Bedrohung eine vielschichtige Gegenstrategie. Staatliche Stellen und private Branchenvertreter Governments schlagen eine Reihe von Empfehlungen vor.

So hat die US-Administration beispielsweise 2021 die United States Executive Order #14028 zur Verbesserung der nationalen Cybersicherheit veröffentlicht, aus der die Software Supply Chain Security Guidance des National Institute of Standards and Technology (NIST) resultierte. Das US-Verteidigungsministerium wiederum erstellte das Dokument Securing the Software Supply Chain Recommended Practices Guide for Developers. Und das U.S. Office of Management and Budget veröffentlichte das Memorandum M-22-18, das „von jeder Bundesbehörde die Einhaltung informationsbezogener Sicherheitsvorkehrungen bei der Datenerhebung und -aufbewahrung“ einforderte. Das hat direkte Auswirkungen für alle Software-Anbieter, die mit der US-Regierung vertraglich zusammenarbeiten, was die Sicherheit der von ihnen bereitgestellten Software und Dienste betrifft.

Die USA sind mit solchen Vorsichtsmaßnahmen keineswegs alleine. Auch die Europäische Union mit allen Mitgliedsländern sowie Großbritannien, Japan und andere Länder haben vergleichbare Vorgaben in Gang gesetzt.

Ärztlich empfohlene Maßnahmen

Mittlerweile wurden eine Vielzahl von Abhilfemaßnahmen entwickelt, um Angriffen auf die Software-Lieferkette entgegenzuwirken. Jede einzelne Maßnahme hilft bei der Erkennung und Verhinderung von Angriffen, aber Einzelmaßnahmen reichen im Regelfall nicht aus. Dynamic Application Security Testing (DAST), Static Application Security Testing (SAST), Software Composition Analysis, Secure Code Signing und SBOMs sind nur einige Beispiele dafür, was Profis im Medikamentenkoffer mitführen.

Mitunter verfügen Unternehmen über einen Flickenteppich an Maßnahmen, was die Sicherheit der Software-Lieferkette betrifft. So kann ein IT-Team zum Beispiel durchaus auf eine bestimmte Technik setzen, die für ein anderes Team der Organisation überhaupt nicht in Frage kommt. Dieser Mangel an unternehmensweiter Koordination erhöht die Anfälligkeit im Unternehmen und kann den Verantwortlichen für Unternehmenssicherheit ein falsches Gefühl von Sicherheit geben.

Nehmen wir das Beispiel Code-Signing. Unternehmen setzen diese Sicherheitstechnik seit über 30 Jahren ein. Sie funktionierte gut, bis es Angreifern gelang, private Code-Signng-Schlüssel zu stehlen, worauf betroffene Unternehmen wiederum ihre Code-Signing-Schlüssel auf sicheren Speichern wie beispielsweise Hardware-Sicherheitsmodulen hinterlegten. Auch diese Sicherheitsvorkehrungen konnten findige Angreifer aber umgehen, indem sie sich Zugriff auf die erforderlichen Anmeldeinformationen und Privatschlüssel mittels neuartiger Phishing-Attacken verschafften. Im Endeffekt müssen Unternehmen jetzt nicht nur ihre privaten Schlüssel sicher speichern, sondern auch einen sicheren Code-Signing-Prozess implementieren, der Schlüsselsicherheit, rollenbasierte Zugriffskontrolle, zentral festgelegte Richtlinien und nicht manipulierbare Protokolle der Code-Signing-Aktivitäten umfasst.

Wie bei medizinischen Maßnahmen gegen ein Virus muss die Softwarebranche also auch ein ganzes Bündel an Maßnahmen vorhalten und weiterentwickeln, um Angriffen auf die Software-Lieferkette wirksam begegnen zu können.

Kein Blindflug

Mit dem DigiCert^® Software Trust Manager bieten wir unseren Kunden eine praxiserprobte und sichere Code-Signing-Lösung. Der Software Trust Manager ermöglicht Organisationen eine zentrale Verwaltung der Code-Signing-Prozesse im gesamten Unternehmen — unabhängig davon, wo sich das Software-Team befindet, welche Programmiersprache oder Plattform verwendet wird oder welche Art von Software das betreffende Team entwickelt (Cloud-native, Embedded-Device, mobile Apps usw.). Auf diese Weise werden viele zuvor ausgenutzte Sicherheitslücken im Code-Signing-Prozess geschlossen, damit Code-Signing-Richtlinien unternehmensweit sichere durchgesetzt werden können.

Allerdings geht man bei einer sígnierten Software davon aus, dass die entsprechende Software frei von Fehlern, Malware und anderen Schwachstellen ist, nicht manipuliert wurde und die integrierten Komponenten den Software-Entwicklern allesamt bekannt sind (was übrigens eine neue gesetzliche Anforderung ist und den Bedarf für eine SBOM-Erstellung erhöht).

Für unsere Kunden ist die Erkennung von Sicherheitsbedrohungen von größter Wichtigkeit, so dass wir Software Threat Detection in die Sicherheitsabläufe integriert haben. Darüber hinaus ist auch die einfache Bedienbarkeit entscheidend (gerade, wenn verschiedene Software-Teams eine breite Auswahl an unterschiedlichen Software-Applikationen entwickeln), um die Produktivität der Mitarbeiter (z.B. durch Verlangsamung der CI/CD-Pipeline) nicht zu beeinträchtigen.

IT-Sicherheits-Teams wünschen sich außerdem eine einheitliche IT-Umgebung, innerhalb der sie unternehmensweite Security-Richtlinien erstellen können — beispielsweise für Code-Signing-Prozesse, für vollständige Binär-Code-Scans nach Bedrohungen und Anfälligkeiten oder für die Erstellung umfassender SBOMs zur Einhaltung gesetzlicher Anforderungen.

ReversingLabs unterstützt DigiCert® Software Trust Manager Threat Detection

DigiCert und ReversingLabs arbeiten ab sofort zusammen, um die Sicherheit der Software-Lieferkette zu erhöhen. Im Rahmen dieser Zusammenarbeit kombinieren beide Unternehmen die ReversingLabs-Technologien zur fortschrittlichen Binäranalyse und Bedrohungserkennung mit DigiCerts Enterprise-Lösung für sicheres Code-Signing. DigiCert-Kunden verfügen dadurch über eine verbesserte Software-Integration mittels tiefgreifender Analyseverfahren, damit signierte Softwareprogramme gegen bekannte Bedrohungen sowie fehlerhafte, manipulierte oder bösartige Software geschützt sind.

DigiCert hat deshalb ReversingLabs-Technologie im neuen Software Trust Manager Threat Detection integriert. Diese neue Funktion wird von DigiCert verkauft und unterstützt. Sie ist in die Workflows des Software Trust Managers integriert und ermöglicht IT-Teams damit eine einheitliche Kontrolle und Visibilität.

Software Trust Manager Threat Detection bietet einheitliche Arbeitsabläufe, die sich zentral im gesamten Unternehmen steuern lassen. Auch eine umfassende Software Bill of Materials (SBOM) lässt sich generieren, die eigenentwickelte Anwendungen, Drittanbieterprogramme sowie Open-Source- und kommerziell lizenzierte Software abdeckt.

Mit der wachsenden Zunahme von Angriffen auf die Software-Lieferkette werden die Erkennung von Bedrohungen und die SBOM-Erstellung immer wichtiger als zentraler Bestandteil staatlicher und branchenspezifischer Regularien.

Wie bei den weltweiten Auswirkungen der COVID-10-Pandemie mit einer Vielzahl an Hilfen, Vorkehrungen und Schutzmaßnahmen müssen Unternehmen mehrere Sicherheitsmaßnahmen ergreifen, um sich vor Angriffen auf die Software-Lieferkette zu schützen. Die Partnerschaft zwischen DigiCert und ReversingLabs ist ein wichtiger Schritt auf diesem Weg.

Verpassen Sie nicht unser Expertengremium, das in einem Webinar am 13. Juni 2023 über Herausforderungen, Strategien und Lösungen debattiert, wie sich digitales Vertrauen schaffen und aufrechterhalten lässt. Nehmen Sie live teil oder verfolgen Sie die hier mitgeschnittene Aufzeichnung.