Ein- bis zweimal im Jahr wird eine große Software-Verwundbarkeit in einer Open-Source Software Komponente entdeckt, die Millionen von Software-Produkten und Millionen von Webseiten betrifft.
Diese Verwundbarkeiten sind so schwerwiegend, dass sie es in die traditionellen Zeitungen und TV-Nachrichten schaffen. Das Thema hält sich ein paar Tage und ist dann wieder verschwunden. Aber sind die Verwundbarkeiten damit auch verschwunden oder nicht mehr relevant? Nein, natürlich nicht. Haben die Experten sie gefixt?
Als Vertreter meiner damaligen Firma in Application Security Fragen wurde ich vier
Wochen nach solch einem Auftreten zusammen mit 20 anderen Software-Zulieferern
eingeladen, um einen Status der Fortschritte beim Auftraggeber, einer großen
Bank, abzugeben. Folgende Statistik/Dramatik erfaltete sich vor mir:
- 30% behaupteten, das Problem würde bei Ihrer Software nicht auftreten, davon konnten zwei allerdings nicht sagen, ob sie Windows oder Unix-Software herstellten.
- 25% der Zulieferer schickten erst gar keinen Vertreter zum Meeting oder wählten sich nicht ein.
- 20% hatten scheinbar zum ersten Mal in der Einladung von der Verwundbarkeit gehört und erhofften sich Erkenntnisse dazu im Meeting.
- 15% warteten noch auf Rückmeldung vom Entwicklungsteam. Die Anfrage wäre zu „plötzlich gekommen“.
- 5% beschwerten sich, dass sie ja gar nicht zuständig dafür wären und der Kunde sich doch bitte an die Hotline wenden solle, wenn es Probleme mit der Software gäbe.
- 5% hatte dem Kunden nach Auftreten proaktiv eine Mitigierungsanleitung geschickt und 2 Tage später einen Hotfix.
Vier Wochen sind viel Zeit für die Hacker. In der Zwischenzeit gab es allein auf GitHub 47 öffentlich verfügbare
Exploit-Projekte, die selbst ein Script Kiddie ausführen konnte, um von außen über die URL festzustellen, ob eine Website angreifbar ist.
Wie viele Zulieferer haben es richtig gemacht? Ganze fünf Prozent?
Es braucht eine Strategie, um gewappnet zu sein.
Besuchen Sie gerne uns auf https://www.wobeecon.com.