Nic Surpatanu, Chief Product Officer bei Tanium
Die moderne digitale Wirtschaft wird von Open-Source-Software angetrieben, aber das durchschnittliche Anwendungsentwicklungsprojekt enthält fast 50 Schwachstellen, die sich auf 80 direkte Abhängigkeiten erstrecken. Indirekte Abhängigkeiten sind noch schwerer zu finden, aber dort verstecken sich 40 Prozent oder mehr aller Sicherheitslücken. "Schwachstellen in der Software-Lieferkette waren die Ursache für einige der schlimmsten Cyberangriffe, die wir je erlebt haben", warnt Nic Surpatanu, Chief Product Officer bei Tanium.
Solche Bedrohungen aus der digitalen Lieferkette rücken daher zunehmenden in den Fokus. Taniums Software Bill of Materials soll Unternehmen dabei unterstützen, dies besser und effizienter in den Griff zu bekommen. "SBOM nimmt diese Herausforderung an, indem es Endpunktdaten nutzt, um die Zusammensetzung von Software aufzuschlüsseln und Sicherheitslücke wie die kürzlich bekannt gegebene Schwachstelle in OpenSSL Version 3 zu finden", erklärt Surpatanu. "Diese Klarheit kann den Unterschied zwischen einem kleinen operativen Schluckauf oder einer kompletten globalen Störung mit nachhaltigen Auswirkungen bedeuten."
Wenn Schwachstellen in der Software-Lieferkette entdeckt werden, müssen sich Unternehmen anstrengen, ihre Bedrohungen zu analysieren, was teilweise Wochen oder sogar Monate dauern kann. Doch da Millionen von Open-Source-Bibliotheken im Einsatz sind, sind Echtzeit-Transparenz und Abhilfemaßnahmen nicht nur wichtig, sondern mittlerweile eine Notwendigkeit. Scheinbar harmlose Programmierfehler haben das Potenzial, Unternehmensstrukturen vollständig zum Einsturz zu bringen.
Die SBOM ist daher laut Tanium ein völlig neuer Ansatz zur Behebung von Schwachstellen in der Lieferkette. Sie konzentriert sich zunächst auf die Software, die sich auf einzelnen Assets befindet, um Bibliotheken und Softwarepakete mit bekannten Schwachstellen zu erkennen. Die Funktionsweise der Lösung geht über einfache Scanning-Tools hinaus, der Inhalt einzelner Dateien wird untersucht, unabhängig davon, wo sie sich in der IT-Umgebung befinden. Diese wichtigen Informationen ermöglichen es, schnelle und angemessene Maßnahmen zu ergreifen, wie beispielsweise die Durchführung von Anwendungs-Patches und Software-Updates - bis hin zur Beendigung eines bestimmten Prozesses oder der Deinstallation betroffener Anwendungen. Die SBOM ist so laut Tanium in der Lage, Schwachstellen wie OpenSSL v3 zu finden und zu beheben, ebenso wie neue Schwachstellen in der Lieferkette in der Zukunft.
