1. Angreifer setzen für den Einbau subtiler Schwachstellen in Open Source Software auf GenAI.

Angreifer, die es auf die Software-Lieferkette abgesehen haben, werden GenAI nutzen, um subtile Schwachstellen in Open Source Software-Projekte (OSS) einzubauen. Die Schwachstellen sind dabei so konzipiert, dass sie durch eine menschliche Codeüberprüfung nicht aufgedeckt werden können. Das könnte zu weitreichenden Angriffen auf Software-Lieferketten führen, wenn Unternehmen die kompromittierten OSS-Pakete in ihrer eigenen Software verwenden.  

2. Ein von generativer KI geschriebener Code führt zu höherer Anfälligkeit. 

Im Jahr 2024 ist damit zu rechnen, dass ein von generativer KI geschriebener Code anfälliger ist und von Angreifern in hohem Maße ausgenutzt wird. Insbesondere große Unternehmen dürften dafür ins Visier der Angreifer geraten. Dabei werden Hacker vor allem auf die Offenlegung von Kundendaten abzielen. Die Schwachstelle wird wahrscheinlich eine OS Command Injection oder eine andere Schwachstelle aus den CWE Top 25 sein.    

3. Ransomware-Angreifer setzen börsennotierte Unternehmen zusätzlich mit Meldepflichten unter Druck, um Lösegeld zu erhalten.

Ransomware-Angreifer, die immer auf der Suche nach neuen Erpressungsmustern sind, werden vor allem bei börsennotierten Unternehmen neue Strategien anwenden können und sich die gesetzliche Meldepflicht von Sicherheitsverletzungen zu Nutze machen, um noch mehr Druck auszuüben. Sie könnten die Daten also nicht nur entwenden und dafür Lösegeld verlangen, sondern zusätzlich gestohlene Daten nach außen dringen lassen und damit drohen, die SEC oder andere Aufsichtsbehörden zu benachrichtigen, wenn nicht bezahlt wird. Diese neue Erpressungstaktik setzt vor allem darauf, dass das Opfer gegen behördliche Vorschriften zur Meldung von Sicherheitsverletzungen verstoßen hat. Je nach Wirksamkeit könnte sich diese Strategie in den nächsten Monaten auch andere Arten von gesetzlichen Meldepflichten zu Nutze machen. 

4. DORA (Digital Operational Resilience Act) bringt bestimmte Branchen in Zugzwang.

Die DORA-Verordnung der Europäischen Kommission verpflichtet Finanzunternehmen, Versicherer und Betreiber von kritischen Infrastrukturen sowie IKT-Dienstleister (Informations- und Kommunikations-Technologien) bis Januar 2025 ihre Widerstandsfähigkeit in der IT zu erhöhen. Dementsprechend werden sich ab 2024 viele Unternehmen bemühen, die Vorschriften umzusetzen. DORA schafft im europäischen Raum einen einheitlichen Rahmen zur Minimierung von IT-Risiken und Cyberangriffen. Betroffene Unternehmen sind verpflichtet, kritische IKT-Systeme und -Anwendungen jährlich durch unabhängige Prüfer auf Mängel und Sicherheitslücken überprüfen zu lassen. Schwerwiegende Mängel und Sicherheitsvorfälle müssen künftig umgehend an die zuständigen Aufsichtsbehörden gemeldet werden.  

5. Die Vermeidung von Schwachstellen im Code wird wichtiger als das Finden und Beheben von Schwachstellen im Software-Code

Vor allem wird der Fokus künftig darauf liegen, dass Schwachstellen nicht in die Code-Basis oder in Quell-Code Repositories gelangen. Dazu wird sich das Cybersecurity-Umfeld in folgenden Bereichen weiterentwickeln: 

  • Prävention: Ziel ist es, zu verhindern, dass Libraries oder vorübergehende Abhängigkeiten, die bekannte Schwachstellen haben, in Open Source Libraries importiert werden. So können Security-Verantwortliche darauf vertrauen, dass durch den Einsatz von Open Source Software nicht neue Schwachstellen entstehen.  
  • Infrastructure-as-Code: Die intelligente Interpretation von Code-Fragmenten und ihrer möglichen negativen Auswirkung auf die Sicherheit ist entscheidend, damit Entwickler Code-Fragmente sicher verwenden können.  
  • Container Images: Ein umfassender und intelligenter Detection-Mechanismus wird entscheidend sein, um den Einsatz von unsicheren Container Images zu verhindern, die zu potenziellen ‚All Access Exploits‘ führen könnten, wenn sie produktiv gehen. Nur künftige Weiterentwicklungen in diese Richtung ermöglichen es Entwicklern, schnell und sicher zu coden.  
Über Veracode

Veracode steht für intelligente Software-Sicherheit. Die Veracode Software Security-Plattform findet Mängel und Schwachstellen in jeder Phase des modernen Softwareentwicklungszyklus. Dank der leistungsstarken KI, die anhand von sorgfältig kuratierten, vertrauenswürdigen Datensätzen auf Basis der Analyse von Billionen von Codezeilen trainiert wurde, beheben Veracode-Kunden Fehler schneller und mit hoher Genauigkeit. Sicherheitsteams, Entwickler und Geschäftsführer von Tausenden der innovativsten Unternehmen der Welt vertrauen und schätzen Veracode und seine Pionierarbeit, die die Bedeutung intelligenter Softwaresicherheit immer wieder neu definiert.

Weitere Informationen finden Sie unter www.veracode.com, im Veracode Blog, auf LinkedIn und Twitter.

Firmenkontakt und Herausgeber der Meldung:

Veracode
4 Van de Graaff Drive
USA01803 Burlington, MA
Telefon: +49 (171) 4412450
http://www.veracode.com

Ansprechpartner:
Christine Wildgruber
Pressekontakt
E-Mail: veracode@maisberger.com?
Katy Gwilliam
Veracode
E-Mail: kgwilliam@veracode.com
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel