Veracode veröffentlicht die neunte Ausgabe des State of Software Security Report. Der diesjährige Bericht analysiert die Scans von mehr als 2 Billionen Code-Zeilen, die alle über einen Zeitraum von 12 Monaten zwischen dem 1. April 2017 und dem 30. April 2018 durchgeführt wurden. Daraus lassen sich wertvolle Rückschlüsse über die Sicherheit des Programm-Codes ziehen, den Unternehmen aktuell generieren und auch, wie sie daran arbeiten Schwachstellen zu beseitigen. Die fünf wichtigsten Erkenntnisse aus dem Report sind:
1. Der meiste Code beinhaltet immer noch Schwachstellen
Mehr als 85 Prozent aller Anwendungen weisen mindestens eine Schwachstelle auf; mehr als 13 haben mindestens eine sehr schwerwiegende Schwachstelle. Hier besteht also immer noch viel Handlungsbedarf und Unternehmen müssen sich auf die Anwendungssicherheit konzentrieren.
2. Die Probleme bleiben die selben
Alarmierend ist, dass Jahr für Jahr die gleichen Schwachstellen im Code auftauchen. Die Mehrheit der Anwendungen in diesem Jahr litt unter Informationslecks, kryptographischen Problemen, schlechter Code-Qualität und CRLF-Injektion. Außerdem wurden beispielsweise hochgradig ausnutzbare Cross-Site-Scripting-Fehler in fast 49 Prozent der Anwendungen entdeckt. SQL-Injection tauchte in fast 28 Prozent der getesteten Software auf. Diese Probleme lassen sich zumindest teilweise darauf zurückführen, dass Sicherheit bei der Ausbildung von Entwicklern eine sekundäre Rolle spielt.
3. Zu viel Zeit vergeht, bis Fehler behoben werden
Fehler zu finden ist eine Sache, sie zu beheben die andere: Eine Woche nach der ersten Entdeckung schließen Unternehmen nur etwa 15 Prozent der Schwachstellen. Im ersten Monat erreicht diese Quote knapp 30 Prozent. Nach drei Monaten haben es die Unternehmen noch nicht einmal zur Hälfte geschafft und nur etwas mehr als 45 Prozent aller Lücken geschlossen. Insgesamt ist jede vierte Schwachstelle über ein Jahr nach der ersten Entdeckung noch offen.
Warum ist diese langsame Fix-Rate so gefährlich? Weil Cyberkriminelle schnell sind. Wenn Unternehmen einen Fehler entdeckt haben, ist die Chance groß, dass auch Kriminelle darüber Bescheid wissen. Die Zeit, die Angreifer benötigen, um Exploits für neu entdeckte Schwachstellen zu finden, wird in Stunden oder Tagen gemessen. Ein großes Fenster zwischen Finden und Beheben von Fehlern birgt ein hohes Sicherheitsrisiko.
4. Das Volumen der Schwachstellen bedingt Priorisierung
Offensichtlich enthalten die meisten Codes eine signifikante Anzahl von sicherheitsrelevanten Fehlern, deren Behebung keine einfache oder schnelle Aufgabe ist. Daher gelten heute Priorisierungsregeln für die Anwendungssicherheit. Und die diesjährigen Daten zeigen, dass Unternehmen, obwohl sie ihre Fehler priorisieren, nicht immer alle wichtigen Variablen berücksichtigen. Die meisten priorisieren nach der Schwere des Fehlers, ohne jedoch Kritikalität oder Ausnutzbarkeit zu berücksichtigen.
Schon ein kleiner Fahler kann Hackern ausreichend Systemwissen liefern, das sie anschließend nutzen können, um eine Bresche in die IT-Befestigung zu schlagen. Ein Fehler bei der Verwaltung von Anmeldeinformationen mit geringer Schwere, der möglicherweise nicht als sehr gefährlich angesehen wird, könnte den Angreifern die Schlüssel zu einem Konto geben, mit dem schwerwiegendere Fehler an anderer Stelle in der Software angegriffen werden können. Unternehmen müssen also kritischer werden bei der Prüfung, welche Probleme sie zuerst angehen.
5. DevSecOps-Praktiken forcieren die Anwendungssicherheit
Kunden, die die Vorteile der kontinuierlichen Softwarebereitstellung von DevSecOps nutzen, schließen ihre Lecks schneller als andere Unternehmen. Das ergibt sich aus dem Fokus auf Inkrementalismus in DevOps, der sich stark auf den Einsatz kleiner, häufiger Software-Builds konzentriert. Auf diese Weise wird es einfacher, schrittweise Verbesserungen an einer Anwendung vorzunehmen. Wenn Unternehmen DevSecOps nutzen, integrieren sie Sicherheitsüberprüfungen in diese laufenden Builds und fügen so eine kontinuierliche Verbesserung der Anwendungssicherheit ein.
Wenn Apps weniger als dreimal im Jahr getestet werden, bleiben Fehler mehr als 3,5x länger bestehen, als wenn ein Unternehmen sieben bis zwölf Scans pro Jahr durchführt. Das Risiko lässt sich weiter reduzieren, wenn man die Frequenz noch weiter erhöht. Sobald Unternehmen mehr als 300 Mal im Jahr scannen, können sie die Fehlerbeständigkeit in den Intervallen um das 11,5-fache verkürzen im Vergleich zu Anwendungen, die nur ein bis dreimal im Jahr gescannt werden.
Den vollständigen Report via E-Mail-Akkreditierung gibt es hier zum Download.
#Netzpalaver #Veracode
