Studie
24.01.2022, 13:31 Uhr
Software unter Beschuss
Eine Studie beleuchtet die wichtigsten Trends bei der Application Security.
(Quelle: dotnetpro)
Die Bedrohungslandschaften entwickeln sich ungebremst dynamisch und Angreifer finden immer neue Wege, um ihren Opfern zu schaden und sich zu bereichern. Dabei nehmen sie neben den Unternehmen selbst immer öfter auch deren Supply Chains ins Visier, wie die neue Studie «AppSec: The View from Security and Software Development Experts» dokumentiert. Dazu befragte Checkmarx gemeinsam mit dem Marktforschungsinstitut Censuswide rund 750 AppSec-Manager und etwa 770 Softwareentwickler aus den US, dem UK, Frankreich sowie der APAC- und DACH-Region zu ihren aktuellen Erfahrungen und Anforderungen im Bereich Software Security.
Mehr als zwei Drittel der Befragten gaben an, dass ihr Unternehmen im letzten Jahr mehrfach Opfer eines Daten-Breaches war. Diese Vorfälle zogen erhebliche Schäden für die Unternehmen nach sich: Die Teilnehmer berichteten von Verlust des Kundenvertrauens (39 Prozent), Systemausfällen (38 %), Diebstählen geistigen Eigentums (37 %) und dem Verlust von Kunden (36 %).
Überraschenderweise vertrauen trotz dieser Erfahrungen mehr als drei Viertel der Befragten darauf, dass ihre Entwickler sicheren Code schreiben. Die Diskrepanz zwischen der Zahl der Breaches auf der einen und dem ungebrochenen Vertrauen in die Fähigkeiten der Entwickler auf der anderen Seite legt den Schluss nahe, dass hier möglicherweise eine Fehleinschätzung vorliegt. Mindestens ebenso wichtig ist aber die Erkenntnis, dass 22 Prozent der AppSec-Manager und 18 Prozent der Entwickler ausdrücklich «nicht zuversichtlich» in Bezug auf die Codesicherheit sind. Als Gründe nennen sie unter anderem die fehlende Einbindung der Entwickler in die Security-Abläufe (40 %), das Fehlen geeigneter Security-Tools (38 %) und die zunehmend raffinierteren Angriffe (37 %).
Supply-Chain- und Cloud-Security
Zu den perfidesten und am raschesten zunehmenden Attacken gehören sogenannte Supply-Chain-Angriffe, bei denen Cyberkriminelle nicht die Individual-Software eines Anbieters kompromittieren, sondern stattdessen die darin eingebundenen Open-Source- und Third-Party-Komponenten ins Visier nehmen. Laut Gartner werden bis zum Jahr 2025 45 Prozent der Unternehmen Opfer eines solchen Angriffs gewesen sein. Die Befragten gaben an, dass es die fehlende Transparenz der Open-Source-Pakete in kundenspezifischen Anwendungen erschwert, die Supply Chain zu schützen. Auch wenn fast die Hälfte der Studienteilnehmer erklärt, die Bausteine ihrer Software über eine Software Bill of Materials zu überwachen, setzen darüber hinaus jeweils 45 Prozent auf ein DevSecOps-Modell mit Schwerpunkt auf Supply-Chain-Security, auf einen Zero-Trust-Ansatz bei Open-Source-Packages und auf AppSec-Awareness-Trainings für ihre Entwickler.
In den beiden vergangenen Jahren zwang der digitale Wandel die Unternehmen, ihr Tagesgeschäft so weit wie möglich in die Cloud zu verlagern und so den Mitarbeitern das Arbeiten im Home Office zu ermöglichen. Mehr als die Hälfte der Befragten bewertet die Sicherheit in der Cloud allerdings als die derzeit grösste Herausforderung. Als problematisch sehen sie etwa die Integration von Cloud-native Security Testing, die Arbeit in der hybriden Umgebung und die Vorbereitung der Devs auf die neue Situation.
Wie Unternehmen ihre AppSec verstärken können
Die Befragten gaben an, sie hätten – nachdem ihr Unternehmen Ziel eines Angriffs war – Pentests (38 %) sowie obligatorische AppSec-Trainings (38 %) durchgeführt und ihre Security-Tools verbessert (37 %). Allerdings heben sie auch hervor, dass sie diese Investitionen lieber schon vor einem Data Breach gemacht hätten, um so grösseren Schaden zu vermeiden.
Der Schlüssel zu einem robusteren Security-Standing liegt nach Einschätzung der Teilnehmer in effizientem AppSec-Training, genaueren Security-Tools und Testing-Prozessen. Die Befragten bestätigten auch, dass ihre Entwickler bereits an Secure-Coding- und -Awareness-Trainings teilgenommen haben. Es gäbe sogar entsprechende Sessions für AppSec-Manager. Allerdings scheiden sich die Geister bei der Bewertung des Erfolgs der Schulungen: Lediglich 23 Prozent der Devs und 17 Prozent der AppSec-Manager empfinden die Trainings als effizient. Die Umfrage belegt, dass Incentives, freundschaftliche Wettkämpfe und relevante, am Alltag der Entwickler ausgerichtete Inhalte die Motivation und den Erfolg steigern könnten.
Besonders besorgniserregend sind die Umfrageergebnisse rund um das Security-Testing: Nur 1 Prozent der Befragten gab an, dass die Software bereits während des Entwicklungsprozesses auf Schwachstellen getestet werde. Zudem scheint es oftmals an geeigneten Testing-Tools zu mangeln. Der Security-Testing-Markt bietet zwar eine Vielzahl an Tools. Doch nicht jede Lösung ist ein Garant für sichere Coding-Prozesse. Zudem kann das Überangebot auch überfordernd sein. Die Entwickler wünschen sich verständliche, eng in den Alltag eingebundene und automatisierte Plattformen, die korrelierte Ergebnisse liefern und mit modifizierbaren Queries die Zahl der False Positives reduzieren.
Quelle: Christopher Brennan