Anwendungssicherheit

Dieser Artikel basiert auf dem Imperva 2025 Malicious Robots Report, der drei Haupttrends aufzeigt:
Die neue Normalität des automatisierten Datenverkehrs: Der automatisierte Datenverkehr übertraf im Jahr 2024 zum ersten Mal den menschlichen Datenverkehr und machte 511 TP3T aus, von denen 371 TP3T bösartige Bots waren, und wuchs in sechs aufeinanderfolgenden Jahren.
KI-gestützte Angriffsentwicklung: Die Verbreitung von künstlicher Intelligenz (KI) und großen Sprachmodellen (LLMs) hat die Angriffsschwelle erheblich gesenkt und damit das Ausmaß und die Raffinesse bösartiger automatisierter Angriffe erhöht. KI wird nicht nur zur Generierung von Bots eingesetzt, sondern treibt diese auch dazu an, Umgehungstechniken zu analysieren, zu erlernen und zu optimieren, wodurch fortgeschrittene Bots mit noch mehr Umgehungsmöglichkeiten entstehen, was zu einer Zunahme von Angriffen mit Geschäftslogik führt.
APIs werden zu neuen Angriffszielen: Mit der Popularität von Microservices und mobilen Apps sind APIs aufgrund ihres konzentrierten Wertes, ihrer relativ schwachen Abwehr und ihrer einfachen Automatisierung zu einem Hauptziel für bösartige Bots geworden.44% des fortgeschrittenen Bot-Verkehrs wurde auf APIs gelenkt, wobei die Finanzdienstleistungs- und Telekommunikationsbranche am stärksten angegriffen wurde, wobei Daten-Crawling, Zahlungsbetrug und Kontoübernahmen die wichtigsten Angriffstaktiken waren.
Darüber hinaus analysiert der Artikel detailliert das Wiederaufleben von Account-Takeover-Angriffen (ATO) und stellt fest, dass diese Angriffe bis 2024 jährlich um 40% zunehmen werden. Außerdem werden die Ursachen für die Zunahme von ATO-Angriffen, die am stärksten betroffenen Branchen und die möglichen regulatorischen Strafen untersucht. Abschließend schlägt das Papier eine mehrschichtige, adaptive Defense-in-Depth-Strategie vor, die über herkömmliche WAFs hinausgeht, die API-Sicherheit stärkt, ATOs abwehrt, eine einheitliche Sicherheitsansicht aufbaut sowie kontinuierliche Überwachung und Threat Intelligence bietet, um Unternehmen dabei zu helfen, der zunehmend intelligenten und skalierten Bedrohung durch bösartige Bots wirksam zu begegnen und digitale Werte und die Geschäftskontinuität zu schützen.

Der Global State of DevSecOps Survey Report 2024 zeigt die wichtigsten Trends und Herausforderungen im DevSecOps-Bereich auf, basierend auf einer Umfrage unter mehr als 1.000 globalen Entwicklern, Sicherheits- und Betriebsmitarbeitern.

82% Organisationen verwenden 6-20 Sicherheitswerkzeuge.
Die Testergebnisse für 60% enthalten Rauschen von 21%-60%.
Nur 24% der Befragten waren "sehr zuversichtlich" in Bezug auf den Schutz von KI-Code.
Die Organisationen in 86% waren der Meinung, dass Sicherheitstests die Entwicklung verlangsamen.

Dieser Bericht gibt einen Überblick über den aktuellen Stand der globalen DevSecOps-Praktiken, -Strategien und -Tools sowie deren Auswirkungen auf die Software-Sicherheit im Jahr 2023. Er enthält die Ergebnisse einer Umfrage unter 1.000 IT- und AppSec-Fachleuten mit unterschiedlichem beruflichem Hintergrund aus den USA, Großbritannien, Frankreich, Finnland, Deutschland, China, Singapur und Japan.

In diesem Beitrag wird die von den Sicherheitsforschern Bo Lai und Xin Zhang vom 360 Vulpecker Team durchgeführte Suche nach Schwachstellen in SDKs von Drittanbietern für mobile Anwendungen vorgestellt. Das Team konzentriert sich auf den Bereich der Angriffe und der Verteidigung der Sicherheit von Android-Systemen und -Anwendungen und hat selbst ein automatisiertes System für die Sicherheitsprüfung von Android-Anwendungen entwickelt. Dieses Papier beginnt mit dem Sicherheitsstatus von SDKs von Drittanbietern, diskutiert die Sicherheitsrisiken, die durch die SDK-Integration entstehen, und beschreibt im Detail die Sicherheitsrisiken und Angriffsmethoden, die in verschiedenen SDKs existieren. Die Methoden zur Ausnutzung von Schwachstellen bei Push-SDKs und gemeinsam genutzten SDKs werden anhand von Beispielen analysiert, und es wird aufgezeigt, inwieweit sich die damit verbundenen Schwachstellen auf Anwendungen auswirken. Abschließend werden einige Überlegungen vorgestellt, um die Aufmerksamkeit der Leser zu wecken und sie zum Nachdenken über die Sicherheit mobiler APPs anzuregen.