Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Diese Schwachstelle kann auftreten, wenn Programmierer die Regeln der Geschäftslogik nicht ordnungsgemäß implementieren, wodurch ihre Anwendungen anfällig für verschiedene Arten von Angriffen werden, sollte ein böswilliger Benutzer sie ausnutzen wollen.
Wenn es jemals etwas gab, das Weihnachten in der Cybersicherheitsbranche ruiniert hat, dann ist es eine verheerende Datenpanne, die auf dem besten Weg ist, das größte Cyberspionage-Ereignis zu werden, das die US-Regierung jemals betroffen hat.
Injektionsangriffe, der berüchtigte König der Schwachstellen (nach Kategorie), haben den Spitzenplatz als schlimmste der schlimmsten Schwachstellen an eine nicht funktionierende Zugriffskontrolle verloren, und Entwickler müssen dies zur Kenntnis nehmen.
Ein kuratierter Kurs, der genau die Module enthält, in denen Ihre Entwickler ihre Fähigkeiten unter Beweis stellen müssen, wird eine starke Wirkung haben und es ihnen ermöglichen, bei ihrer täglichen Arbeit mit den Best Practices im Bereich der Sicherheit auf Anhieb zurechtzukommen.
Die Verlagerung von Sicherheitskorrekturen zurück in den Entwicklungsprozess ist nicht einfach, aber notwendig in der heutigen Welt, in der selbst scheinbar einfache Geräte wie Präsentationstools nicht nur überraschend komplex, sondern auch mit allem anderen vernetzt sind.
Wir müssen ein Stadium erreichen, in dem Sicherheit als eine gemeinsame Verantwortung im gesamten Unternehmen und im gesamten SDLC gesehen wird. Dies ist sicherlich möglich, wenn Sie sich zu einer vollwertigen, hochgradig unterstützenden DevSecOps-Umgebung verpflichten.
Die fehlende Zugriffskontrolle auf Funktionsebene ermöglicht es Benutzern, Funktionen auszuführen, die eingeschränkt werden sollten, oder lässt sie auf Ressourcen zugreifen, die geschützt werden sollten.
Die Authentifizierung fungiert oft als Tor sowohl zu einer Anwendung als auch potenziell zum Rest eines Netzwerks, sodass sie ein verlockendes Ziel für Angreifer darstellt. Wenn ein Authentifizierungsprozess fehlerhaft oder anfällig ist, besteht eine gute Chance, dass Angreifer diese Schwäche entdecken und ausnutzen.
Die Softwareentwicklung ist keine Insel mehr, und wenn wir alle Aspekte des softwarebasierten Risikos berücksichtigen - von der Cloud über eingebettete Systeme in Geräten und Fahrzeugen bis hin zu unserer kritischen Infrastruktur, ganz zu schweigen von den APIs, die alles miteinander verbinden - ist die Angriffsfläche grenzenlos und außer Kontrolle.
Man kann mit Sicherheit sagen, dass die letzten Jahre für die Cybersicherheitsstandards eine Umwälzung bedeutet haben. Auch wenn dies nicht verpflichtend ist, sollte es das Ziel aller Unternehmen sein, diesem Beispiel zu folgen und die Sicherheitspraktiken der Anbieter so zu prüfen, als wären sie Teil des eigenen internen Sicherheitsprogramms.
Wir fingen an, darüber nachzudenken, was wir tun können, um die Hürde zu verringern, Schulungen zu bekommen, wenn man sie braucht, und wie Micro-Learning auf eine nahtlosere Weise in den Arbeitsablauf implementiert werden kann.
Entwickler werden keinen positiven Einfluss auf die Verringerung von Schwachstellen haben, wenn sie nicht verstehen, wie Schwachstellen funktionieren, warum sie gefährlich sind, welche Muster sie verursachen und welche Design- oder Codierungsmuster sie in einem Kontext beheben, der in ihrer Welt sinnvoll ist. Ein gerüstartiger Ansatz ermöglicht Wissensschichten, die ein vollständiges Bild davon vermitteln, was es bedeutet, sicher zu programmieren, eine Codebasis zu verteidigen und als sicherheitsbewusster Entwickler aufzutreten.
Bei Zero-Day-Angriffen bleibt den Entwicklern definitionsgemäß keine Zeit, vorhandene Schwachstellen zu finden und zu beheben, da der Bedrohungsakteur zuerst eingedrungen ist. Der Schaden ist angerichtet, und dann ist es ein verrücktes Gedränge, um sowohl die Software als auch den Imageschaden für das Unternehmen zu beheben. Angreifer sind immer im Vorteil, und es ist von entscheidender Bedeutung, diese Lücke so weit wie möglich zu schließen.
Dies ist Teil 1 einer zweiteiligen Serie über erfolgreiche PCI-DSS-Compliance innerhalb einer Organisation. In diesem Kapitel erläutern wir, wie AppSec-Spezialisten eng mit Entwicklungsmanagern zusammenarbeiten können, um Entwickler zu befähigen, das SSDLC zu stärken und konkrete Ergebnisse aus der allgemeinen Gesetzgebung zu erzielen.
Wir wissen bereits, dass an einem Arbeitstag zu viel los ist. Welchen Anreiz haben Entwickler also, sich in ein Klassenzimmer zu schleppen oder kontextabhängig fünf Schritte zu durchlaufen, um auf statische, theoriegestützte Schulungen zuzugreifen?
Es gibt einige Gründe, warum AppSec-Tools nicht so genutzt werden, wie wir es vielleicht erwarten. Dabei geht es weniger um die Tools und ihre Funktionalität, sondern vielmehr darum, wie sie sich in ein Sicherheitsprogramm als Ganzes integrieren.
Wir möchten einen unserer Experten, Oscar Quintas, ins Rampenlicht stellen. Er ist Teil unseres Product Content Teams und arbeitet als Senior Security Researcher. Außerdem ist er unser ortsansässiger Zauberer für alles, was mit Infrastructure as Code (IaC) zu tun hat.
Das Spielfeld zwischen den Helden und Schurken in der Cybersicherheit ist notorisch unfair. Sensible Daten sind das neue Gold, und Angreifer passen sich schnell an, um Schutzmaßnahmen zu umgehen, indem sie große und kleine Sicherheitslücken ausnutzen, um an Geld zu kommen.
Diese Schwachstelle tritt auf, wenn zu viele Anforderungen gleichzeitig eingehen und die API nicht über genügend Rechenressourcen verfügt, um diese Anforderungen zu verarbeiten. Die API kann dann nicht mehr verfügbar sein oder nicht mehr auf neue Anfragen reagieren.
Wenn es darum geht, Cyberkriminelle zu bekämpfen, müssen wir mit ihnen so schnell wie möglich Schritt halten und ihren Spielplätzen mit einer präventiven Denkweise zuvorkommen. Ich denke, dass sie im kommenden Jahr Wellen schlagen werden:
Ohne eine perfekt funktionierende Zugriffskontrolle auf Infrastrukturebene öffnet sich ein ganzes Unternehmen für Angreifer, die diese Schwachstelle als Einfallstor entweder für unbefugtes Schnüffeln oder einen vollständigen Angriff nutzen können.
Cyberattacken werden immer häufiger und Bedrohungen, die Linux-basierte Infrastrukturen betreffen, werden immer häufiger, wobei das Endziel die Möglichkeit ist, eine Beutetruhe mit sensiblen Daten zu knacken, die in der Cloud gespeichert sind.
Die eigentliche Mechanik hinter dieser Schwachstelle ist ähnlich wie bei anderen, aber exzessive Datenexposition ist in diesem Fall definiert als der Umgang mit gesetzlich geschützten oder hochsensiblen Daten.
Ähnlich wie webbasierte Software, APIs und mobile Geräte kann anfälliger Code in eingebetteten Systemen ausgenutzt werden, wenn er von einem Angreifer in freier Wildbahn entdeckt wird.
Dies ist Teil 2 einer Miniserie über PCI-DSS-Compliance innerhalb einer Organisation. In diesem abschließenden Kapitel gehen wir darauf ein, wie CTOs und CISOs von der Spitze aus bei der Reduzierung von Cyber-Risiken führen und den Prozess nahtlos und erfolgreich gestalten können... und vielleicht auch ein bisschen Spaß für Entwickler.
Der unzureichende Protokollierungs- und Überwachungsfehler ist meist das Ergebnis eines fehlgeschlagenen Cybersicherheitsplans in Bezug auf die Protokollierung aller fehlgeschlagenen Authentifizierungsversuche, verweigerten Zugriffe und Eingabevalidierungsfehler.
Die jüngste Cybersecurity Executive Order der Biden-Administration hat die Sicherheitsbranche auf jeden Fall zum Reden gebracht, insbesondere diejenigen, die Entwickler für die Bedeutung der Anwendung von Best Practices für sichere Codierung bei ihrer täglichen Arbeit gewinnen wollen.
Wir müssen einen von Menschen geführten Ansatz für Best Practices im Bereich der Cybersicherheit verstärken. Das wird zu besseren Ergebnissen führen als eine starke Abhängigkeit von Automatisierung, Tools und Reaktion auf Probleme, die bereits eingebettet und entdeckt wurden.
Entwickler gehören zu denjenigen, die neben Sicherheitskonfigurationen und Zugangskontrolle am meisten mit Code zu tun haben. Ihre Sicherheitskompetenzen müssen gefördert werden, und um die hohen Standards des NIST zu erreichen, könnte eine praxisorientierte Kursstruktur genau der richtige Weg sein, insbesondere bei großen Entwicklungsgruppen.
Wir freuen uns, eine brandneue Funktion auf der Plattform Secure Code Warrior ankündigen zu können: Missions. Diese brandneue Challenge-Kategorie ist die nächste Phase des entwicklungsorientierten Sicherheitstrainings, das die Benutzer vom Abrufen von Sicherheitswissen zur Anwendung in einer realen Simulationsumgebung führt.
Ob das Unbehagen nun von den Unbekannten einer neuen Arbeitsweise herrührt, von ein wenig Misstrauen oder vielleicht davon, dass man nicht an Remote-Arbeit glaubt, ich finde, dass Unternehmen, die sich dagegen sträuben, dazu neigen, bei der Gewinnung von Top-Talenten, der Aufrechterhaltung der globalen Reichweite und offen gesagt, beim Gehen mit der Zeit zurückzufallen.
Der Schlüssel zu den meisten Computersicherheiten liegt heutzutage in Passwörtern. Selbst wenn andere Sicherheitsmethoden eingesetzt werden, wie z. B. Zwei-Faktor-Authentifizierung oder Biometrie, verwenden die meisten Organisationen immer noch passwortbasierte Sicherheit als ein Element ihres Schutzes.
Secure Code Warrior hat eine GitHub-Aktion entwickelt, die kontextbezogenes Lernen in das GitHub-Code-Scanning einbringt. Das bedeutet, dass Entwickler eine Aktion eines Drittanbieters wie die Snyk Container Action verwenden können, um Schwachstellen zu finden, und dann die Ausgabe mit CWE-spezifischem, hyperrelevantem Lernen erweitern können.
Penetrationstests und Scanning-Tools für die statische Analyse (besser bekannt als SAST) sind nur ein Teil des Gesamtprozesses zur Minderung von Sicherheitsrisiken und arbeiten ziemlich unabhängig von unserer Arbeit - bis der Code für Hotfixes zu uns zurückkommt, natürlich!
Code eines bestimmten Qualitätsniveaus ist per Definition auch sicher, aber aller sicherer Code ist nicht unbedingt von guter Qualität. Ist das Starten "links von links" die Formel, um reine sichere Codierungsstandards zu gewährleisten?
Das Verhalten, das eine Schwachstelle hervorruft, auf das wir uns hier konzentrieren werden, ist die Verwendung von Code aus nicht vertrauenswürdigen Quellen, eine scheinbar harmlose Praxis, die große Probleme verursacht.
Springen Sie ins Jahr 2016 und ein Sicherheitsforscher fand eine häufige Schwachstelle, die als Cross-Site-Scripting (XSS) bekannt ist, auf der Hauptwebsite von Equifax, laut einem Tweet eines Forschers, der auf den Namen x0rz hört.
Bei dieser Schwachstelle handelt es sich eher um ein menschliches oder verwaltungstechnisches Problem, das dazu führt, dass ältere APIs noch lange nach ihrer Ablösung durch neuere, sicherere Versionen weiter verwendet werden können.
Viele Unternehmen, die mit ihrem Cybersicherheitskonzept hohe Ziele verfolgen, haben ein offizielles Security-Champion-Programm eingeführt, das Personen, die für diese Aufgabe geeignet sind und sich dafür begeistern können, mit wichtigen Sicherheitsaufgaben betraut - von der Zusammenarbeit zwischen Teams über allgemeine Unterstützung bis hin zur Überwachung bewährter Verfahren.
Rust übernimmt bekannte und funktionale Elemente aus gängigen Sprachen und arbeitet nach einer anderen Philosophie, die Komplexität beseitigt und gleichzeitig Leistung und Sicherheit einführt.
Bei APIs ist das wahrscheinlich etwas häufiger der Fall, aber Angreifer versuchen oft, ungepatchte Schwachstellen und ungeschützte Dateien oder Verzeichnisse irgendwo in einem Netzwerk zu finden. Wenn sie auf eine API stoßen, bei der das Debugging aktiviert oder die Sicherheitsfunktionen deaktiviert sind, macht das ihre ruchlose Arbeit nur ein wenig einfacher.
Als Branche sollten wir nicht erwarten, dass Entwickler zu Sicherheitsexperten werden, aber Unternehmen können neue Standards für die Befähigung von Entwicklern einführen, damit sie qualitativ hochwertigere Software produzieren können.
Gelegentlich tauschen Anwendungen auch Daten mit anderen Programmen als Teil einer Gesamtarbeitslast aus. Wenn die Transportschicht nicht geschützt ist, ist sie sowohl für das Ausspähen von außen als auch für unbefugte interne Einblicke anfällig.
Eine Beziehung, die auf einem wackeligen Fundament des Misstrauens aufgebaut ist, geht man am besten mit niedrigen Erwartungen an. Traurigerweise kann dies der Zustand der Arbeitsbeziehung zwischen Entwicklern und dem AppSec-Team innerhalb einer Organisation sein.
Sicherheitsfehlkonfigurationen, insbesondere solche der Sorte "falsche Berechtigungen", treten am häufigsten auf, wenn ein Entwickler einen neuen Benutzer anlegt oder einer Anwendung als Werkzeug die Berechtigung erteilt, um eine Aufgabe zu erfüllen.
Angreifer werden immer zuerst versuchen, leicht ausnutzbare Schwachstellen zu finden und können sogar ein Skript verwenden, um gängige Schwachstellen durchzuspielen. Es ist nicht unähnlich einem Dieb, der alle Autos in einer Straße überprüft, um zu sehen, ob irgendwelche Türen unverschlossen sind, was viel einfacher ist, als ein Fenster einzuschlagen.
Angesichts des anhaltenden Fachkräftemangels und der Flut an Code, die geschrieben wird, um den weltweiten Softwarebedarf zu decken, geraten viele Unternehmen mit ihrer Cybersicherheitsstrategie und der bestehenden Infrastruktur ins Hintertreffen. Es ist an der Zeit, dass wir einen ehrlichen Blick auf unsere allgemeine Cybersicherheitsreife werfen und die möglichen Quick Wins, die direkt vor uns liegen, bewerten.
CISOs befinden sich in einer zunehmend angespannten Lage: Sie müssen mehr Anlagen schützen, mehr Code ausliefern, eine größere Angriffsfläche reduzieren und das alles mit immer knapperen finanziellen Ressourcen. Es ist eine unausweichliche Tatsache, dass Cybersicherheit als Kostenstelle betrachtet wird, und obwohl das Sicherheitsprogramm einer Organisation das ist, was einen Bedrohungsakteur daran hindert, sie zur katastrophalen Schlagzeile von morgen zu machen, müssen Sicherheitsverantwortliche mehr tun, um den Gesamtwert der Abteilung für das Unternehmen zu verkaufen und zu beweisen, und zwar in einer Sprache, die für das Führungsgremium Sinn macht.
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
In diesem Whitepaper erörtert der Sicherheitsexperte und Secure Code Warrior CTO & Mitbegründer Matias Madou, Ph.D.:Die sechs Säulen, die Sie benötigen, um eine effektive Sicherheitsschulung und -befähigung für Ihre Entwicklungskohorte einzuführen. Die Erfahrungen von zehn Führungskräften, die Sicherheitsprogramme auf Unternehmensebene implementieren, und die häufigsten Fallstricke, die Sie auf Ihrem Weg zum Erfolg vermeiden sollten.