
Tool zur Analyse der Softwarezusammensetzung erkennt Sicherheitslücken in Anwendungskomponenten und Binärdateien und erstellt eine detaillierte „Software-Stückliste“
GrammaTech, ein Anbieter von Software-Analyse-Werkzeugen, präsentiert seine neue Lösung CodeSentry. CodeSentry führt eine Analyse der Softwarezusammensetzung (Software Composition Analysis / SCA) durch und inventarisiert Code von Drittanbietern, um darin enthaltene Schwachstellen zu erkennen. CodeSentry identifiziert auf diese Weise mögliche Problemstellen und ermöglicht es Sicherheitsexperten, Risiken während des gesamten Software-Lebenszyklus schnell und einfach abzuschätzen und zu verwalten.
Leistungsfähige Binäranalyse der Komponenten
CodeSentry nutzt eine leistungsfähige Binäranalyse, um eine detaillierte Komponentenliste, auch als Software Bill of Materials (SBOM) bezeichnet, zu erstellen und die dafür bekannten Schwachstellen aufzuzeigen. Drittanbietersoftware kann als Quellcode oder in Binärform verarbeitet werden. Die zugrundeliegenden Komponenten sind der Organisation, die sie verwendet, möglicherweise unbekannt. Es kann sich hierbei um Open Source, Commercial-Off-The-Shelf (COTS) oder Code aus Auftragsentwicklung handeln. CodeSentry ist in der Lage, die damit verbundenen Komponenten und deren Schwachstellen zu erkennen. Dies sind beispielsweise sowohl Netzwerk- und GUI-Komponenten als auch Authentifizierungsebenen.
Spezialisierte Angriffe auf Komponenten von Drittanbietern nehmen zu
Die Notwendigkeit einer solchen Prüfung von Drittanbieterkomponenten wurde in den letzten Jahren durch hochspezialisierte Angriffe immer deutlicher. Diese Attacken zielen darauf ab, bekannte Open-Source-Schwachstellen in Drittanbieterkomponenten auszunutzen. Laut Gartner haben diese Risiken innerhalb der Software-Lieferkette zunehmend an Bedeutung gewonnen. Im Gegensatz zu Schwachstellen, die durch Unachtsamkeit in der Softwareentwicklung entstehen, steigt die Zahl der Fälle, bei denen schädlicher Code mit Absicht von Angreifern in Open-Source-Code eingefügt wird (vgl. Gartner, “Technical Insight for Software Composition Analysis”, November 2019 by Dale Gardner).
„Die Verwendung von Komponenten von Drittanbietern – anstatt diese von Grund auf selbst zu entwickeln – ist gängige Praxis, um die Markteinführungszeit zu verkürzen“, sagt GrammaTech-CEO Mike Dager. „Die meisten Unternehmen stellen mittlerweile jedoch fest, dass Code von Drittanbietern für ihre Anwendungen und ihr Geschäft Sicherheitsrisiken mit sich bringt. Hieraus resultiert die Forderung nach einer Analyse der Softwarezusammensetzung. CodeSentry kann diese Prüfung mit besonderer Präzision durchführen.“
Sicherung des modernen Software-Stacks
CodeSentry basiert auf GrammaTechs bahnbrechender Binär-Code-Analyse und Machine-Learning-Technologie. Das Tool liefert tiefgehende Einsichten in die Software, ohne dass der Quellcode verfügbar sein muss.
Weiterhin bietet CodeSentry folgende Hauptvorteile:
- Einfache Nutzung über eine Schnittstelle zum Hochladen von Anwendungen, die native Binärdateien, Zip-Dateien und andere Archive akzeptiert. Für die Binärdateien sind keine Debug-Informationen erforderlich, sie können auf beliebigen Instruction Set Architectures (ISAs) basieren.
- Analyse des tatsächlich auszuführenden Codes anstatt der Build-Umgebung: Durch Weglassen des überflüssigen Codes der Build-Umgebung wird die False-Positive-Rate deutlich gesenkt.
- Identifizierung von Komponenten in nativen Binärdateien durch eine Vielzahl von Algorithmen zur Komponentenvergleichsbestimmung. Erfassung von Versionsnummernbereichen, Erstellung eines Software Bill of Materials (SBOM) mit Links zu CVE und CVSS-Ergebnissen.
- Um ein besonders hohes Niveau der binären Analyse zu erreichen, nutzt CodeSentry mehrere von GrammaTech zum Patent angemeldete Algorithmen. Die spezielle Einbettungstechnologie von GrammaTech ermöglicht es CodeSentry, Komponenten-Disassemblierungen multidimensionalen Vektoren zuzuordnen und diese dann zu vergleichen.
„Kunden, die Software Composition Analysis Tools der ersten Generation nutzen, müssen in der Regel den Nachteil in Kauf nehmen, dass sie keine Einsicht in Softwarekomponenten haben, die als Binärcode geliefert werden“, erklärt Vince Arneja, Chief Product Officer bei GrammaTech. „GrammaTechs Fähigkeit, Binärcode zu analysieren und eine Liste der Softwarezusammensetzung zu erstellen, stellt eine Lösung für Unternehmen dar, die die Angriffsfläche für Hacker proaktiv verkleinern wollen.“
Verfügbarkeit
CodeSentry ist ein Produkt des US-amerikanischen Unternehmens GrammaTech. Vertrieb und Support erfolgen im deutschsprachigen Raum über die Verifysoft Technology GmbH. Kostenlose Evaluationen sind über www.grammatech.com und www.verifysoft.com möglich.
Fachartikel

LIVE WEBINAR: Verschlüsselter und einfacher Datentransfer per E-Mail oder Datenraum

Cybersecurity: Endlich Schluss mit dem Tool-Wahnsinn

SD-WAN: Warum DDI der Schlüssel zu effizientem Management ist

(Keine) Cyberrisiken (mehr) im erweiterten Zulieferer-Netzwerk

Wie Managed Service Provider (MSP) Daten vor Ransomware-Angriffen schützen sollten
Studien

Cybersicherheit: Unternehmen unterschätzen Risiken durch Partner und Lieferanten

IBM „Cost of a Data Breach“- Studie 2022: Verbraucher zahlen den Preis, da die Kosten für Datenschutzverletzungen ein Allzeithoch erreichen

Gestohlene Zugangsdaten sind im Dark Web günstiger als ein Döner

Jedes zweite Fertigungsunternehmen rechnet mit Zunahme von Cyberangriffen – bei weiterhin lückenhafter Cybersicherheit

Hybride Arbeitsmodelle: Firmware-Angriffe nehmen signifikant zu
Whitepaper

Trellix Threat Labs Report: ein Blick auf die russische Cyber-Kriminalität

Q1 2022 Lage der IT-Sicherheit: 57 % aller Sicherheitsvorfälle gehen auf bekannte Netzwerkschwachstellen zurück

Ransomware-Vorfälle nehmen weiter zu

DDOS-Angriffe in Deutschland sinken, aber neue fokussiere Angriffstechniken werden weiterentwickelt
