Die Cybersecurity and Infrastructure Security Agency (CISA) hat in Zusammenarbeit mit dem von MITRE betriebenen Homeland Security Systems Engineering and Development Institute (HSSEDI) eine Top-25-Liste der gefährlichsten Software-Schwachstellen des Jahres 2024 veröffentlicht. Die 25 sind laut MITRE die am häufigsten vorkommenden und schwerwiegendsten hinter den 31,770 CVE-Datensätzen des Jahres 2024. Sie würden von Angreifern häufig genutzt, um Systeme zu kompromittieren, sensible Daten zu stehlen oder kritische Systeme zu sabotieren, schreibt die CISA auf ihrer Website.
Anzeige
Unternehmen und öffentlichen Stellen empfiehlt die Behörde, die Liste bei ihrer Software-Security-Strategie zu beachten. Die gelisteten Schwachstellen in Entwicklungs- und Procurementprozessen zu berücksichtigen, helfe, Sicherheitslücken im Kern des Softwarelebenszyklus zu vermeiden. So sollen Security-Verantwortliche die Top 25 bei Schwachstellenmanagement und Application-Testing-Prozessen berücksichtigen, Entwickler sollen sie zurate ziehen, um mögliche Schwachstellen mit hoher Priorität zu identifizieren. Laut Mitre können so ganze Fehlerklassen eliminiert werden, etwa solche, die die Speichersicherheit betreffen. Produkt- und Entwicklerteams sollen nach Möglichkeit die sogenannten Secure-by-Design-Praktiken in ihre Entwicklungsprozesse integrieren. Secure by Design meint, dass Hersteller von Software Best Practices aus dem Bereich der IT-Sicherheit im gesamten Design- und Entwicklungsprozess befolgen.
Daneben richtet sich die Liste an Einkäufer und Risikomanager: Sie sollen die Liste beim Einschätzen von Anbietern heranziehen und sogenannte Secure-by-Demand-Prinzipien in ihre Prozesse integrieren. Secure by Demand wiederum meint, dass Einkäufer darauf achten, Software nur bei Anbietern zu erwerben, die die Secure by-Design-Richtlinien der CISA befolgen.
Laut Mitre kann das Einbeziehen der Liste in die genannten Prozesse nicht nur das Auftreten von Sicherheitslücken verhindern, sondern auch bei der Analyse von Trends und der Priorisierung von Risiken helfen und unter Umständen eine Kostenreduktion herbeiführen. Transparenz im Umgang mit Schwachstellen und deren Management könne außerdem das Vertrauen der Kunden steigern.
(
Kommentare