- 65 % der Unternehmen waren im vergangenen Jahr Angriffen auf die Lieferkette ausgesetzt
- Die Einführung von GenAI erhöht die Risiken; Nur 24 % analysieren KI-generierten Code auf Sicherheits- oder IP-Probleme
- Compliance und kontinuierliche Automatisierung verbessern die Geschwindigkeit der Behebung und die Wirksamkeit der Abwehr
Die Software-Lieferkette, ein ganzes Netzwerk aus Komponenten, Tools und Prozessen zur Entwicklung, Erstellung und Bereitstellung von Software, hat sich zu einer neuen, sehr beliebten Angriffsfläche entwickelt und bietet Cyberkriminellen die Möglichkeit, Standardverteidigungsmaßnahmen zu umgehen und aus einer einzigen Kompromittierung unverhältnismäßig große Gewinne zu erzielen.
Dies geht aus dem neuen ausführlichen Bericht „Navigating Software Supply Chain Risk in a Rapid-Release World“ hervor, der vom Anwendungssicherheitsunternehmen Blackduck veröffentlicht wurde.
Basierend auf einer Umfrage unter 540 Führungskräften im Bereich Softwaresicherheit heißt es in dem Bericht, dass zwei Drittel (65 %) der Unternehmen in den letzten 12 Monaten mindestens einen Angriff auf die Lieferkette erlebt haben.
Compliance ist der Schlüssel
Diese Vorfälle werden immer vielfältiger: Unternehmen melden bösartige Abhängigkeiten (30 %), ungepatchte Schwachstellen (28 %), Zero-Day-Exploits (27 %) und Malware-Injektionen in Build-Pipelines (14 %).
Die Geschwindigkeit, mit der generative künstliche Intelligenz (GenAI) in Unternehmen eingeführt wird, macht die Sache nur noch schlimmer. Laut Blackduck nutzen mittlerweile fast alle (95 %) Unternehmen KI-Tools für die Softwareentwicklung (hauptsächlich ChatGPT), aber die Sicherheitsprotokolle halten nicht mit. Das Vertrauen in das Tool ist hoch, während die tatsächliche Verifizierung besorgniserregend niedrig ist.
Tatsächlich analysieren nur ein Viertel (24 %) der Organisationen KI-generierter Code für Dinge wie IP-, Lizenz-, Sicherheits- oder Qualitätsrisiken. Dies lasse, so argumentiert der Bericht, viel Raum für Schwachstellen in der Lieferkette, einschließlich der Einführung urheberrechtlich geschützten geistigen Eigentums oder der Offenlegung sensibler API-Schlüssel.
Um Ihre Abwehrkräfte zu stärken, sollten Sie die Einhaltung sorgfältig prüfen. Blackduck argumentiert, dass ein Compliance-First-Ansatz entgegen der landläufigen Meinung tatsächlich die Sicherheitsreaktionszeiten beschleunigt.
Es scheint einen klaren Zusammenhang zwischen robusten Compliance-Kontrollen und der Behebungsgeschwindigkeit zu geben, und 54 % der Unternehmen, die mindestens vier Arten von Compliance-Kontrollen verwenden, reagieren deutlich schneller auf kritische Schwachstellen, verglichen mit 45 % der allgemeinen Befragtengruppe.
Darüber hinaus scheint Automatisierung nicht verhandelbar zu sein. Sich auf eine regelmäßige manuelle Überwachung zu verlassen, was derzeit etwa 36 % der Befragten tun, wird allgemein als unzureichend angesehen. Gleichzeitig werden Organisationen mit automatischer kontinuierlicher Überwachung als „weitaus effektiver“ beschrieben.
Das beste Antivirenprogramm für jedes Budget
Folgen Sie TechRadar auf Google News Und Fügen Sie uns als bevorzugte Quelle hinzu um unsere Expertennachrichten, Rezensionen und Meinungen in Ihren Feeds zu erhalten. Klicken Sie unbedingt auf die Schaltfläche „Folgen“!
Und natürlich können Sie das auch Folgen Sie TechRadar auf TikTok für Neuigkeiten, Rezensionen, Unboxings in Videoform und erhalten Sie regelmäßige Updates von uns WhatsApp zu.
