Mit Blick auf das Jahr 2023 wird Code Signing wichtiger denn je sein - und das sagt schon einiges.
In der heutigen "Zero-Trust"-Umgebung ist das Signieren von Code ein wichtiger Schritt zum Schutz der Integrität von software und der Infrastruktur. Wenn es richtig gemacht wird, stellt die Codesignierung sicher, dass nur die richtigen Personen und Werkzeuge Zugang zum Signieren von Code haben, und diese Signatur ermöglicht es Benutzern und Geräten, zu bestimmen, welchen software sie vertrauen können - und welchen nicht.
Natürlich ist es wie überall in der Welt der Sicherheit leichter gesagt als getan, die richtigen Praktiken für das Code Signing einzuführen, um den gewünschten Endzustand zu erreichen. Aber es richtig zu machen, wird im Jahr 2023 eine wesentliche Priorität sein, um sich vor Sicherheitsverletzungen und Angriffen auf die Lieferkette zu schützen.
Wie genau sieht die aktuelle Landschaft rund um das Code Signing aus und welche Veränderungen sind für das kommende Jahr zu erwarten? Um diese Fragen zu beantworten, haben wir uns mit Eric Mizell, VP of Field Engineering bei Keyfactor, zusammengesetzt . Hier ist, was er zu sagen hatte.
Keyfactor: Was sind Ihrer Meinung nach die Hauptgründe dafür, dass sich das Code Signing noch nicht durchgesetzt hat?
Eric Mizell: Ich glaube, es gibt mehrere Gründe, warum Code Signing noch nicht weit verbreitet ist, und die meisten davon haben mit dem unterschiedlichen Bekanntheitsgrad zu tun. Diese Gründe, beginnend mit dem niedrigsten Bekanntheitsgrad, umfassen:
- Die Teams wissen nicht, wie sie den Code signieren sollen oder wie das Signieren von Code in ihre Organisation passt.
- Die Unterzeichnung des Codes steht auf der Liste der zu erledigenden Aufgaben, hat aber weniger Priorität als andere.
- Code Signing findet zwar statt, ist aber auf eine bestimmte Gruppe beschränkt und der größeren Organisation möglicherweise unbekannt.
Eines der größten Hindernisse für das Code Signing, unabhängig vom Bekanntheitsgrad, sind begrenzte Standards und ein Mangel an Unterstützung und bewährten Verfahren für das Code Signing.
Keyfactor: Warum wird Code Signing trotz schleppender Einführung immer wichtiger?
Eric: In erster Linie spielt das Code Signing eine wichtige Rolle bei der Umsetzung von Zero-Trust-Sicherheitsstrategien, die sich in Unternehmen schnell zum Standard entwickeln. Jedes Unternehmen ist ein software Unternehmen, und die Zahl der Anwendungen, die sie erstellen und bereitstellen, nimmt weiter zu. Wie kann man dem vertrauen, was man entwickelt und einsetzt (Zero-Trust), wenn man nicht signiert?
Hinzu kommt, dass wir auch eine Zunahme von Insider-Bedrohungen beobachten. Da immer mehr Ingenieure von zu Hause aus arbeiten, übernehmen viele mehr Aufgaben und lagern Code von nicht vertrauenswürdigen Personen aus. Dies führt zu mehr Insider-Bedrohungen und macht es erforderlich, dass Unternehmen als Reaktion darauf mehr Kontrollen und Gegenmaßnahmen einführen (eine davon sollte das Signieren von Code sein).
Keyfactor: Da das Bewusstsein für die Bedeutung von Code Signing zunimmt, können wir mit der Einführung weiterer Standards rechnen?
Eric: Auf jeden Fall, und GitHub hat bereits begonnen, den Standard zu setzen. Kürzlich hat GitHub Authentifizierungsanforderungen eingeführt, um die Person zu verifizieren, die den Code eincheckt. In der Tat können Unternehmen jetzt eine Funktion innerhalb von GitHub aktivieren, die eine Zertifikatsautorisierung für Entwickler erfordert, um sicherzustellen, dass der Code von einem bestimmten Entwickler stammt. Dies ist der erste Schritt in der Lieferkette von software , um sicherzustellen, dass der Code von einem vertrauenswürdigen Entwickler stammt.
Keyfactor: Wann, glauben Sie, werden wir den Wendepunkt erreichen, an dem Code Signing zur Norm wird?
Eric: Zum Glück sehr bald. Code Signing wird bald für Banken vorgeschrieben sein, und das ist das erste Anzeichen dafür, dass der Wendepunkt kommt, denn sobald Institutionen mit hohem Sicherheitsrisiko (wie Banken) eine neue Sicherheitsmaßnahme einführen, folgen andere Branchen in der Regel dicht dahinter.
Allerdings stehen wir hier noch am Anfang, denn neue Vorschriften, die eine sichere software Lieferkette fordern werden gerade in den USA eingeführt. Das derzeitige Mandat gilt für Anbieter, die an die US-Regierung verkaufen, aber das wird sich schnell ausbreiten, und ich erwarte, dass sich die Landschaft am Ende des Jahres deutlich verändern wird.
Keyfactor: Gibt es internationale Normen, an denen wir uns orientieren können?
Eric: Bislang sind die Anforderungen in den USA denen auf internationaler Ebene sehr ähnlich, aber viele Unternehmen in der Europäischen Union sind ihren US-Kollegen voraus. Je mehr wir erfahren, desto strengere Vorschriften könnten aus der EU kommen.
Keyfactor: Was ist Ihrer Meinung nach der Grund für diese neuen Anforderungen an die Banken?
Eric: Ganz einfach, wir können nicht mehr nach dem Prinzip "Vertrauen und Überprüfen" leben. Wir leben heute in einer Welt des Null-Vertrauens, und das bedeutet, dass wir sicherstellen müssen, dass alle software, Skripte und Binärdateien, die wir erstellen und bereitstellen, auf sichere Weise signiert sind.
Keyfactor: Erschwert die Tatsache, dass viele Bankdienstleistungen heute international sind, ihre Fähigkeit, dieses Sicherheitsniveau zu bieten?
Eric: Das geht viel weiter. Ich denke, jedes Unternehmen hat dieses Problem, da die Entwickler nicht mehr unbedingt im selben Büro in einem sicheren Netzwerk arbeiten. Wenn Entwickler überall auf der Welt sein können, wie können wir dann ihre Identität überprüfen und sicherstellen, dass sie tatsächlich diejenigen sind, die den Code einchecken? Die Sicherung der software Lieferkette vom Einchecken des Codes bis zum Signieren der Builds ist der richtige Weg.
Sind Sie bereit, mit dem sicheren Code Signing in Ihrer Organisation zu beginnen?
2023 wird zweifelsohne das Jahr sein, in dem Code Signing für Unternehmen aller Art zur obersten Priorität wird. Seien Sie der Zeit voraus und schützen Sie Ihr Unternehmen jetzt mit Keyfactor Signumeiner sicheren Signing-as-a-Service-Plattform, die das Signieren von Code, Containern, software und Firmware für Anwendungs- und Betriebsteams mühelos und für Sicherheitsteams einfach zu verwalten macht.