Software-Lieferketten

Bedrohungsakteure nehmen KI/Machine-Learning-Modelle und Software-Lieferketten ins Visier

, JFrog

Bedrohungsakteure nehmen KI/Machine-Learning-Modelle und Software-Lieferketten ins Visier

Von Yoav Landman, Mitbegründer und CTO von JFrog

Ein Bereich, der jetzt besondere Vorsicht verlangt, ist die Entwicklung von KI/ML-Modellen. Wir sehen an diesem neuralgischen Punkt eine zunehmende Bedrohung durch bösartigen Code, der es Bedrohungsakteuren ermöglicht neue Wege zu finden, unentdeckt in Unternehmen einzudringen und sensible Daten zu stehlen.

Yoav Landman, Mitbegründer und CTO von JFrog

Es stellt sich die Frage, warum dies eine so große Bedrohung darstellt. Während KI/ML schon seit vielen Jahren fester Bestandteil vieler Softwarelieferungen ist, hat der Aufstieg von Large Language Models (LLMs) die Einbettung von KI/ML in viele Anwendungen deutlich erleichtert. Es wird erwartet, dass Entwickler KI/ML-Modelle zusammen mit Software-Updates und neuen Implementierungen bereitstellen, oft haben sie aber nicht die Ressourcen, um Sicherheitsmaßnahmen von Anfang an in ihre Prozesse einzubauen. Es kann beobachtet werden, dass Entwickler auf Open-Source-Angebote zurückgreifen, um ihre Arbeitsabläufe zu rationalisieren, wobei sie aber den Code, den sie verwenden, oft nicht auf Schwachstellen nicht überprüfen. Sobald bösartiger Code in KI-/ML-Modellen eingesetzt wird, kann er von Cyberkriminellen als Waffe eingesetzt werden, um sich innerhalb der Netzwerke des Unternehmens zu bewegen.

Wenn wir die größeren Zusammenhänge betrachten, müssen wir feststellen, dass wir nicht annähernd so viel über die Leistungsfähigkeit von KI/ML wissen, wie wir glauben, und wir erst am Anfang ihrer Geschichte stehen. Das bedeutet, dass wir uns ohne eine sorgfältige Kontrolle der Art und Weise, wie wir die KI/ML-Modelle erstellen, enormen Sicherheitsbedrohungen aussetzen können. 2024 muss das Jahr sein, in dem Unternehmen den blinden KI-Hype der letzten beiden Jahre überwinden. Es bedarf fundierter Strategien für die DevSecOps-Praktiken, wie wir vertrauenswürdige KI/ML-Modelle verantwortungsbewusst entwickeln und sicher einsetzen können.

Sicherheit von Software-Lieferketten

Die Bedeutung der Software-Lieferkette wird in diesem Jahr weiter zunehmen und parallel wird auch die Bedrohungslage an Komplexität und Intensität gewinnen. Die Unternehmen müssen ihre Sicherheitsstrukturen entsprechend ausbauen und an die neuen Herausforderungen anpassen. Die Unterstützung durch einen gesetzlichen Rahmen, der ein sicheres Umfeld für die Softwareentwicklung ermöglicht, spielt dabei eine entscheidende Rolle. So hat beispielsweise in den USA die Open Source Software Security Roadmap der CISA den Markt in eine starke Position gebracht, um den aufkommenden Sicherheitsbedrohungen selbstbewusst begegnen zu können. Sicherheitsexperten aus der Branche gehen fest davon aus, dass Open Source auch langfristig eine großes Bedrohungspotenzial wird. Da Software immer komplexer wird und die Fristen für die Bereitstellung neuer Anwendungen und Updates immer kürzer werden, greifen Entwickler verstärkt auf Open Source und Pakete von Drittanbietern zurück. Auch wenn dies für die Effizienz hilfreich ist, bringt es ein klares Sicherheitsdefizit mit sich, da die Sicherheit nicht von Anfang an in den Lebenszyklus der Software integriert ist. Dieses Problem muss sofort angegangen werden, da die Systeme dadurch anfälliger für die Kompromittierung durch bösartigen Open-Source-Code.

SBOMs (Software Bill of Materials) stellen hierbei eine Möglichkeit dar, diese Sicherheitsbedrohungen in der Software-Lieferkette zu bekämpfen. Glücklicherweise finden SBOMs immer mehr Anerkennung, da Unternehmen damit besser auf Angriffe auf die Lieferkette reagieren können. Sie ermöglichen eine schnellere Reaktionszeit, wenn eine Schwachstelle entdeckt wird, und können Unternehmen in die Lage versetzen, die Sicherheitsmaßnahmen gezielt zu verstärken. Trotzdem werden wir dieses Jahr wahrscheinlich eine Zunahme der Angriffe auf die Software-Lieferkette erleben, da Bedrohungsakteuren immer mehr Tools zur Verfügung stehen, um ihre Attacken durchzuführen und weiterzuentwickeln. Gleichzeitig ist aber davon auszugehen, dass die Bereitschaft zur Verstärkung der Abwehrmechanismen in den Organisationen stetig zunehmen wird.