Thought Leadership
Schwächen in der Software-Lieferkette spielen eine große Rolle in der Cybersicherheitslandschaft. Cyber-Attacken und Bedrohungen wie SolarWinds, 3CX, Log4Shell und kürzlich XZ Utils unterstreichen die potenziell verheerenden Auswirkungen dieser Sicherheitslücken. Die letztgenannten Beispiele von Open Source Software (OSS) Angriffen sind ein wachsender Angriffsvektor.
Die Täter automatisieren ihre Angriffe auf gängige Open-Source-Softwareprojekte und Paketmanager zunehmend, weshalb Attacken auf OSS-Lieferketten wohl oder übel steigen werden. Viele CISOs und DevSecOps-Teams sind aber nicht ausreichend genug darauf vorbereitet, Kontrollen in ihre bestehenden Build-Systemen zu implementieren und so solche Bedrohungen zu entschärfen. 2024 sollte das Jahr sein, in dem DevSecOps-Teams bei ihren Sicherheitsmodellen von einem „Shift Left“-Ansatz zu Gunsten eines “Shifting Down” abrücken. Dafür kann man KI nutzen, um die Sicherheitsvorkehrungen zu automatisieren und aus dem Aufgabenbereich der Entwickler zu entfernen.
Im Folgenden werden die Faktoren erläutert, die die Zunahme von Angriffen auf die Software-Lieferkette begünstigen, sowie die Rolle der KI bei der Unterstützung von Entwicklern, um effizienter zu arbeiten und gleichzeitig sicheren Code zu erstellen.
Angriffe auf die Open-Source-Software-Lieferkette werden zunehmen
Open-Source-Bibliotheken und -Sprachen bilden die Grundlage für über 90 % der weltweit eingesetzten Software. In einer Bitkom-Studie von 2023, die mit 1.150 Unternehmen verschiedener Größenordnungen und Branchen durchgeführt wurde, gaben 69 % an, dass ihre Unternehmen Open-Source-Software verwenden. Davon gaben 73 % an, dass ihnen die Funktionalität der OSS sehr wichtig sei. 64 % stufen Sicherheitsindikatoren oder die Verfügbarkeit von Sicherheitszertifizierungen als sehr wichtig ein. Zum Zeitpunkt der Erstellung dieses Artikels wurden gerade Einzelheiten über die Hintertür, die in die XZ-Bibliothek und mehrere andere OSS-Pakete implantiert wurde, veröffentlicht. Die weltweite Verbreitung von Open Source ist ein Schlüsselfaktor, der die Zunahme von Angriffen auf die Lieferkette begünstigt.
Data Governance und die Datenlieferkette werden zu kritischen Themen
Sicherheitsexperten müssen auch berücksichtigen, wie sich die Sicherheitsschwachstellen auf ihre Datenlieferketten auswirken. Obwohl Unternehmen in der Regel extern entwickelte Software über ihre Software-Lieferketten integrieren, benötigen ihre Datenlieferketten oft klare Mechanismen zum Verständnis oder zur Kontextualisierung. Im Gegensatz zu den strukturierten Systemen oder Funktionen von Software sind Daten oft unstrukturiert oder halbstrukturiert und unterliegen einer Vielzahl von Regulierungsstandards.
Viele Unternehmen bauen KI- oder ML-Systeme auf riesigen Datenpools mit heterogenen Quellen auf. ML-Modelle in Modell-Zoos werden mit einem minimalen Verständnis des Codes und der Inhalte veröffentlicht, die zur Erstellung der Modelle verwendet werden. Software-Ingenieure müssen mit diesen Modellen und Daten genauso sorgfältig umgehen wie mit dem Code, der in die von ihnen erstellte Software einfließt, und dabei auf die Herkunft der Daten achten.
DevSecOps-Teams müssen die Risiken der Datennutzung einschätzen, insbesondere bei der Erstellung von LLMs zum Trainieren von KI-Tools. Dies erfordert eine sorgfältige Datenverwaltung innerhalb der Modelle, um die versehentliche Übermittlung sensibler Daten an Dritte – wie zum Beispiel an OpenAI – zu verhindern.
Unternehmen sollten strenge Richtlinien für die genehmigte Verwendung von KI-generiertem Code festlegen und bei der Einbindung von KI-Plattformen Dritter eine gründliche Due-Diligence-Prüfung durchführen. So stellen sie sicher, dass die Daten nicht für das Training und die Feinabstimmung von KI/ML-Modellen verwendet werden.
KI-Sicherheitsautomatisierung hilft Unternehmen beim Übergang von “shift-left” zu “shift-down
Vor zehn Jahren hat die Branche das Shift-Links-Konzept eingeführt, um Sicherheitslücken schon früh im Softwareentwicklungszyklus zu schließen und die Arbeitsabläufe der Entwickler zu verbessern. System-Verteidiger waren lange Zeit im Nachteil – KI hat nun das Potenzial, das Spielfeld zu ebnen. Während sich DevSecOps-Teams mit den Feinheiten der Data Governance auseinandersetzen, müssen sie auch gleichzeitig die Auswirkungen des sich entwickelnden Shift-Left-Paradigmas auf die Sicherheitsposition ihrer Unternehmen bewerten.
Unternehmen werden über die Linksverschiebung hinausgehen und KI einsetzen, um Sicherheitsprozesse vollständig zu automatisieren und sie aus dem Arbeitsablauf der Entwickler zu entfernen. Dies wird als “Shifting-Down” bezeichnet, weil es die Sicherheit in automatisierte und untergeordnete Funktionen im Tech-Stack verlagert, anstatt Entwickler mit komplizierten und oft schwierigen Entscheidungen zu belasten.
Der Global DevSecOps Report 2024 von GitLab: The State of AI in Software Development fand heraus, dass Entwickler nur 25 % ihrer Zeit mit der Codegenerierung verbringen. KI kann ihre Leistung steigern, indem sie die verbleibenden 75 % ihres Arbeitsaufwands optimieren. Dies ist eine Möglichkeit, die Fähigkeit von KI zur Lösung spezifischer technischer Probleme zu nutzen und die Effizienz und Produktivität des gesamten Softwareentwicklungszyklus zu verbessern.
Man kann davon ausgehen, dass 2024 das Jahr sein wird, in dem die eskalierenden Bedrohungen der OSS-Ökosysteme, die sich negativ auf die globalen Software-Lieferketten auswirken, wesentliche Veränderungen der Cybersicherheitsstrategien auslösen werden. Einschließlich einer stärkeren Abhängigkeit von KI zum Schutz digitaler Infrastrukturen. Die Cybersicherheitslandschaft ist bereits im Wandel, wobei der Schwerpunkt zunehmend auf der Abschwächung von Schwachstellen in der Lieferkette, der Durchsetzung von Data Governance und der Einbeziehung von KI in Sicherheitsmaßnahmen liegt. Dieser Wandel verspricht, DevSecOps-Teams in Richtung Softwareentwicklungsprozesse zu lenken, bei denen Effizienz und Sicherheit an erster Stelle stehen.
