Venafi Studie: Nur 28 Prozent der Unternehmen setzen die Sicherheit für Code Signing-Maschinenidentitäten durch

Kevin Bocek – Vice President of Security Strategy and Threat Intelligence bei Venafi

Kevin Bocek, Vice President of Security Strategy and Threat Intelligence bei Venafi.

Venafi®, der führende Anbieter von Maschinenidentitätsschutz, gab in der letzten Woche die Ergebnisse einer Studie von über 320 Sicherheitsexperten in den USA, Kanada und Europa über Sicherheitspraktiken für CodeSigning bekannt. Der Studie zufolge setzen nur 28 Prozent der Unternehmen einen definierten Sicherheitsprozess für Code Signing-Zertifikate konsequent durch.

„Wenn die Code Signing-Schlüssel und Zertifikate, die als Maschinenidentitäten dienen, in die Hände von Angreifern fallen, können sie enormen Schaden anrichten“, sagt Kevin Bocek, Vice President of Security Strategy and Threat Intelligence bei Venafi. „Sichere CodeSigning-Prozesse ermöglichen, Apps, Updates und Open-Source-Software sicher zu betreiben. Wenn diese aber nicht geschützt sind, können Angreifer sie in leistungsstarke Cyberwaffen verwandeln. Code Signing-Zertifikate waren der Hauptgrund, warum Stuxnet und ShadowHammer so erfolgreich waren. Die Realität ist, dass jedes Unternehmen heute im Bereich der Softwareentwicklung tätig ist, von Banken über Einzelhändler bis hin zu Herstellern. Wenn Sie Code erstellen, Container bereitstellen oder in der Cloud laufen, müssen Sie sich ernsthaft mit der Sicherheit Ihrer Code Signing-Prozesse befassen, um Ihr Unternehmen zu schützen.“

Die Venafi-Studie ergab, dass Sicherheitsexperten zwar die Risiken der Code-Signatur verstehen, aber keine geeigneten Maßnahmen ergreifen, um ihr Unternehmen vor Angriffen zu schützen. Zu den wichtigsten Ergebnissen gehören:

  • 50 Prozent sind besorgt, dass Cyberkriminelle gefälschte oder gestohlene CodeSigning-Zertifikate verwenden, um die Sicherheit ihrer Unternehmen zu verletzen.
  • Weltweit setzen nur 29 Prozent der Unternehmen Sicherheitsrichtlinien für Code Signing konsequent durch.  Dieses Problem ist in Europa viel akuter, nur 14 Prozent sind in der Lage, Code Signing durchzusetzen.
  • 35 Prozent haben keinen klaren Eigentümer für die privaten Schlüssel, die in den Code Signing-Prozessen in ihren Unternehmen verwendet werden.
  • Weltweit verlassen sich 43 Prozent der Unternehmen bei der Verwaltung privater Code Signing-Schlüssel auf die IT-Security-Abteilung. Inzwischen verlassen sich nur noch 19 Prozent auf Entwickler, um diese Aufgabe zu erfüllen. Im Gegensatz dazu, sind in 38 Prozent der europäischen Unternehmen die Entwickler dafür verantwortlich, während 27 Prozent erwarten, dass die IT-Security-Abteilung ihre private Code Signing-Schlüssel verwaltet.
  • 69 Prozent erwarten, dass der Einsatz von Code Signing im nächsten Jahr zunehmen wird.

Code Signing-Prozesse werden verwendet, um die Authentizität von Software-Updates für eine Vielzahl von Softwareprodukten zu sichern und sicherzustellen, einschließlich Firmware, Betriebssysteme, mobile Anwendungen und Anwendungscontainer-Images. Allerdings werden über 25 Millionen bösartige Binärdateien mit Code Signing-Zertifikaten aktiviert, und Cyberkriminelle missbrauchen diese Zertifikate bei ihren Angriffen. So haben Sicherheitsforscher kürzlich bösartige Akteure entdeckt, die Malware in Antivirenprogrammen verstecken, indem sie Uploads mit gültigen Code Signing-Zertifikaten signierten.

Bocek fügte hinzu: „Sicherheitsteams und Entwickler betrachten die Sicherheit von CodeSigning auf völlig unterschiedliche Weise. Entwickler sind in erster Linie besorgt darüber, dass sie aufgrund der Methoden und Anforderungen ihrer Sicherheitsteams verlangsamt werden. Diese Trennung schafft oft eine chaotische Situation, die es Angreifern ermöglicht, Schlüssel und Zertifikate zu stehlen. Um sich und ihre Kunden zu schützen, müssen Unternehmen genau verstehen, wo Code Signing verwendet wird, die Kontrolle darüber, wie und wann Code Signing erlaubt ist, und die Integration zwischen Code Signing und Development Build-Systemen. Dieser umfassende Ansatz ist der einzige Weg, um Risiken erheblich zu reduzieren und gleichzeitig die Geschwindigkeit und Innovationskraft zu bieten, die Entwickler und Unternehmen heute benötigen“.

Ressourcen

Blog: Studie: Wie gut schützen Sie Code Signing-Zertifikate?

Blog: Crypto Mining, Code Signing-Kompromiss: Sind Ihre Zertifikate sicher?

Blog: Code Signing-Zertifikate: Ein Darknet Bestseller

Über Venafi

Venafi ist der Marktführer für Cybersicherheit im Bereich des Schutzes von Maschinenidentitäten, der die Verbindung von Maschine zu Maschine und die Kommunikation sichert. Venafi schützt Maschinenidentitätsarten durch die Orchestrierung kryptographischer Schlüssel und digitaler Zertifikate für SSL/TLS, IoT, Mobile und SSH. Venafi bietet einen globalen Überblick über die Maschinenidentitäten und die damit verbundenen Risiken für das erweiterte Unternehmen – vor Ort, mobil, virtuell, Cloud und IoT – bei Maschinengeschwindigkeit und -größe. Venafi setzt diese Erkenntnisse mit automatisierter Fehlerbehebung um, die die Sicherheits- und Verfügbarkeitsrisiken im Zusammenhang mit schwachen oder gefährdeten Maschinenidentitäten reduziert, den Informationsfluss zu vertrauenswürdigen Maschinen sichert und die Kommunikation mit nicht vertrauenswürdigen Maschinen verhindert.

Mit über 30 Patenten liefert Venafi innovative Lösungen für die anspruchsvollsten, sicherheitsbewusstesten Global 5000 Organisationen und Regierungsbehörden der Welt, darunter die fünf führenden US-Krankenversicherer, die fünf besten US-Fluggesellschaften, vier der fünf besten Banken in den USA, Großbritannien, Australien und Südafrika sowie vier der fünf besten US-Einzelhändler. Venafi wird von erstklassigen Investoren unterstützt, darunter TCV, Foundation Capital, Intel Capital, QuestMark Partners, Mercato Partners und NextEquity.

Weitere Informationen finden Sie unter: www.venafi.com.

 

Kategorien
News

Weitere Artikel

No related posts.

Archiv

Kategorien

Back to Top